目标网站
淫荡思路拿下某房产网-ChaBug安全
win2003 + iis6 + access + asp

首先扫目录
淫荡思路拿下某房产网-ChaBug安全
有上传页面 白名单 上传失败

wvs 检测到注入点
淫荡思路拿下某房产网-ChaBug安全
表没跑出来
淫荡思路拿下某房产网-ChaBug安全
首页有 用户注册
淫荡思路拿下某房产网-ChaBug安全
个人中心
淫荡思路拿下某房产网-ChaBug安全
发布信息 那里上传调用的也是 /inc/upload.asp

没啥思路 于是就检测旁站 扫到 shell
淫荡思路拿下某房产网-ChaBug安全
不灭之魂 右键源代码 font 后面就是密码

8.jpg

?profile=a 爆密码
淫荡思路拿下某房产网-ChaBug安全
freehost 星外虚拟主机

10.jpg

提权渣...

Media Index 目录可以执行文件
淫荡思路拿下某房产网-ChaBug安全
上传 cmd.exe

不过1秒后就被杀软干掉了

因为是星外的主机 支持 php 尝试写一个死循环不断写入二进制文件

文件生成成功 但拒绝访问
淫荡思路拿下某房产网-ChaBug安全
百度发现星外主机还有一个跨目录漏洞

星外虚拟主机跨目录技巧
淫荡思路拿下某房产网-ChaBug安全
目标站是 q 开头的 找到这些可疑路径
淫荡思路拿下某房产网-ChaBug安全
打包源码 下载 查看数据库

15.jpg

md5 无法解密

仔细看 xinyu 用户

旁站找到一个网站

16.jpg

建站公司 竟然改成房产了...

想了想 可能是后门账户

于是下载它的源码

17.jpg

翻了一会 发现网站配置文件

邮件服务器的账号密码

目标站

18.jpg

建站公司
淫荡思路拿下某房产网-ChaBug安全
JJJdhy217315

somd5
淫荡思路拿下某房产网-ChaBug安全
和之前解不出来的 md5 一样

直接拿密码登录后台
淫荡思路拿下某房产网-ChaBug安全
有数据库备份
淫荡思路拿下某房产网-ChaBug安全
尼玛没权限
淫荡思路拿下某房产网-ChaBug安全
本地继续翻源码 看看有没有其他上传点

翻到 house 目录 发现 dhb1.asp
淫荡思路拿下某房产网-ChaBug安全
dhb 电话簿

后台25.jpg

和源码里的一样

插入一句话
淫荡思路拿下某房产网-ChaBug安全
保存成功

连接
27.jpg