入侵某医院的笔记

2009, September 26, 10:53 AM. 原创笔记
Submitted by admin

【久久久电脑工作室 http://www.st999.cn/blog
昨夜无事,来到本地的一家医院网站,网站制作的挺漂亮的,但是就是对这些无良医生没有好感,那就对你的网站实施报复吧,嘿嘿嘿。。。。。
把网站拿到啊D里跑下,过了一会,没有出现希望中的注入点,如图
1.bmp



可用注入点空空如也。。
接着查看下管理入口检测这个功能,看看有没有什么利用的地方没有。。。
2.bmp


嘿嘿,有论坛,利用的地方可能会更多了,去,看看论坛去。。。
一打开,郁闷了,原来只是个留言板,后面加个login.asp登录,用默认的admin admin登录成功。。。
不过没什么利用的地方,见图
3.bmp


这个留言板倒是还有注入漏洞,不过也没什么用。。。
郁闷之下接着来到网站首页,看到了个某某很帅气的医生的相片,真是妒忌啊,比偶帅多了。。。
右键查看一下属性,嘿嘿,终于找到有利用的地方了。。。
属性:http://www.xxx.com/sysadmin/ewebeditor100/uploadfile/00000000000.jpg    (图片地址忘了)
看到sysadmin就明白了,原来后台是sysadmin,啊D检测不出来。。
打开后台登录页面,感动的后台登录框终于出现了,看这后台,并不是网络上什么熟悉的程序,应该是自己制作或者修改的吧,,先试试一些弱口令密码吧。。。admin  admin ,admin admin888,admin admin123456,admin 123456……这些比较简单的都不行,再试试万能密码吧,看看行不。
运气很好,第一个万能密码就进去了,'or'='or'
后台功能很简单,
4.bmp



并没有什么备份数据库的功能,不过大家别忘了了,它还有一个很重要的东东,就是在线编辑器啊,找到后台地址时不是有:sysadmin/ewebeditor100 这样的字样吗,嘿嘿,这是一个突破点,大家一起看看去,在发布新网页那里就有调用了。。。。
先看看editor的版本
5.bmp


是1.0.0的,嘿嘿,这还是我第一次遇见这么低的版本呢。。。
ewebeditor后台的登录页面已被删除,有什么利用的地方呢?
百度一下ewebeditor 1.0的漏洞,没什么收获。。
再找找,又没有别的上传页面,看来只能从这里突破了。。
哦,对了,2.1.6版本不是有一个上传页面的漏洞吗,在这个版本里面应该也存在这样的漏洞吧。。。
拿出冰的原点的那个ewebeditor asp版 2.1.6 上传漏洞利用程序.html
修改其中的action链接,上传个CER的马,出错,提示:
6.bmp


在联合查询中所选定的两个数据表或查询中的列数不匹配”,嗯,下载数据库来看一下,是里面的字段数不同,修改一下应该就可以的吧。。。
在编辑器后面输入
upload.asp?action=save&type=IMAGE&style=wzhacker' union select 1,2,3,4,5,6,7,8,9,10,11,[S_ImageExt]%2b'|asa',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord from ewebeditor_style
返回正确,那么,把数据库里面的字段一一对应到数字上面去就可以了。。。
这个呢,是传asa的文件的。。。
用这个修改了之后的HTML文件,成功上传一个asa的木马。。
至此,网站的shell到手。。。
后记:拿这个站遇到唯一的不解时,就是修改这个上传的HTML文件了,还好,最终修改成功,并附上这个文件。。。

附件: ewebeditor asp版 1.0上传漏洞利用程序.rar (530 bytes, 下载次数:58)

Tags: 笔记, 原创

« 上一篇 | 下一篇 »

Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):