这一切,都要从一只蝙蝠说起…忘记搜索什么词汇,看到一处暴漏的管理后台。于是…一场行动开始了。

爆破点

偶然的机会,在搜索引擎的结果中看到如下内容

1
http://www.0759h.com/news/admin_newsedit.asp?Unid=26524

什么?admin
什么?编辑
什么?居然没有权限验证

直接浏览器打开网址,会发现没有左侧菜单栏,因此可以判定这是一个二级界面。
文章编辑

换个ID后,依然能可以

1
http://www.0759h.com/news/admin_remark.asp?Unid=27002

寻找上传入口

众所周知,要完全控制一台肉鸡(服务器),需要上传我们自己的 webshell,那我们看一下当前界面是否有上传功能。
显而易见,这个网站有两处上传

  • 一处是上传文章图片
  • 另外一处是富文本编辑器里面的上传

好,那我们逐个测试,最终发现所有的上传接口都是失败的。有可能是服务器禁用了上传功能,也有可能是没有执行权限。

另辟途径

找上传入口失败了,那么,我们就去找一下这个网站的其他相关网页吧,有以下几种方式

  • 通过爆破机,尝试普遍的网页规则
  • 通过该网站特征,找其他类似的网站(算是旁注的一种变种吧)

我没有采用第一种方式,因为手头没有工具
通过搜索引擎搜索关键词汇 admin_uploadF.asp(这个词汇是从编辑界面抓包出来的),发现有人开放了源码,天助呀
搜索结果

那么,我们把该网页url拼接到这个网站上,得到如下可用网页

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
// 找到了文章列表
http://www.0759h.com/news/admin_newslist.asp
// 评论管理
http://www.0759h.com/news/admin_remark.asp?Unid=27002
// 执行sql,但是有检测
http://www.0759h.com/news/admin_Sql.asp
// 管理员账号
http://www.0759h.com/news/admin_user.asp
// 添加文章
http://www.0759h.com/news/admin_addnews.asp
// 添加用户
http://www.0759h.com/news/Admin_addUser.asp
// 服务器状态
http://www.0759h.com/news/admin_server.asp
// 网站配置 看到这个了吗,可以添加xss。不过没有太大意义
http://www.0759h.com/news/admin_setup.asp
// 分类
http://www.0759h.com/news/admin_Class.asp
// 在线备份
http://www.0759h.com/news/admin_backupdata.asp

// 删库跑路
http://www.0759h.com/news/admin_format.asp
// 恢复数据
http://www.0759h.com/news/admin_Restoredata.asp

// 删除图片
http://www.0759h.com/news/admin_picmang.asp

梳理网站可用功能

服务器状态

通过这个服务器状态,我们知道了服务器关闭了上传功能,而不是禁用了创建文件的权限。
服务器状态

管理员管理

添加自己的账号,但是没有意义。达不到控制服务器的目的

在线执行SQL

网站做了关键词过滤,我没尝试过多。因为脱库还是挺容易的

网站配置

可以添加统计脚本(猜测),添加xss脚本,获取管理员账号密码。然并卵,不是我们的目的
xss
xss

删库跑路

这是一个比较危险的操作,但是这个网站程序还是比较完善的,有备份还原功能(access数据库)
初始化数据库

重新思考

基于以上信息,常规的套路好像都被堵死了,接下来要怎么做呢
查看了备份页面,居然可以自定义路径与名称。感觉像是开发人员故意留的坑
备份数据

脱库

基于上述条件,我们把数据库备份下载(把数据库备份到图片资源目录,然后通过http下载)
随便找一个在线破解MD5的网站,碰撞网站管理员密码(结果就不放出来了,也没什么意义)
因为网站没有注册用户,除了新闻,貌似没有其他数据。从黑产的角度来讲,这个数据库一文不值。但是可以在网站中插入广告,来获取灰色收入。

后续思考

因为没有上传功能,所以无法上传我们的webshell。但是可以通过其他方式绕过
比如,找到写文件功能。这样需要分析源代码,找到注入点,并把自己的webshell,写入到网站目录。
截至此时,我在这个网站上花费了大概几个小时的时间。本来只是一次好奇的尝试,因此就这样吧。联系网站所有者。