【渗透笔记】友情检测朋友公司并拿下shell过程

一朋友在一个百货公司上班，由于无聊危险漫步就友情检测了他们公司的网站，开始我们的检测之旅吧。

打开网站，发现网站挺不错，不愧是大卖场，页面做的挺花，但是安全性怎么样呢？来试试吧。先用工具扫了下后台，结果什么也没扫到，再到页面上找找有没有注入漏洞，找了半天也没找到有用的东西，看来这个站安全性不错，只好旁注了，打开ip.wen.la，查一下这个服务器上有多少个网站，发现服务器上还有另一个网站，打开一看，原来是他们公司的连锁超市的网站。来试试这个网站吧。

用御剑扫一下敏感目录，居然发现了EWEBEDITOR，有了这东西，拿下这个站就不难了，打开EWEBEDITOR的登陆页面。尝试用默认密码登陆，成功登入。接下来打开样式管理，在图片类型里添加ASA后缀。点击保存，可惜事情总是不如人愿。提示不能更新。数据库或对象为只读，看来数据库被设置为只读了，上传这条路就没戏了，通过刚才的扫描结果知道，这个EWEBEDITOR的版本是2.8，这个版本还有一个历遍目录漏洞，点击上传文件管理，在地址后面加上&dir=..，就可以历遍上一个目录的文件了。

输入&dir=../../../..一直历遍到磁盘的根目录，可以看到两个网站目录都出来了。

接下来找找这个超市网站的数据库吧，发现数据库是在WEBDATA/DB.MDB，下载下来打开数据库，找到管理员密码，破解之后登陆后台。找了找后台，发现没有数据库备份，只找到了一个上传的地方。

各种上传漏洞轮番上阵，结果一个都不行，只好放弃这个网站，继续利用历遍目录漏洞来找找我们要检测的百货公司网站的数据库吧，发现数据库。

看到数据库ASA后缀就觉得不妙，果然打开一看，意料中的防下载设置。

没办法下载数据库，思路就到这了，休息一下，想了想，还得读出数据库密码才行，再看看这个网站，确实找不到注入点，再看看超市网站，发现可以COOKIES注入，用COOKIES注入工具测试。

有超市网站的注入点，还知道百货公司网站的数据库地址，可以跨库查询，但是这个数据库地址必须是绝对路径。刚才在超市网站的后台看到了网站的绝对路径是D:\TEST\，那么百货网站的绝对路径就是D:\xxx\，它的数据库绝对路径就是D:\XXX\一dabasess\hdp7hm3jdxifq83zh6k523jk9_fh3e26s_f.asa，这样就可以跨库查询了，但是这个注入点是COOKIES的注入点利用起来不太方便，我们把它转成GET型的注入点，打开COOKIE注入中转工具。

我们找到的注入点是超市.cordnewsview.asp?ld=632，COOKIE中转设置。设置好了，我们用AWS搭建一个简单的ASP环境，把刚生成的中转ASP文件放进去，在浏览器里访问。

可以正常访问，现在抄出NBSI注入吧，在ACCESS跨库那里写入百货公司网站的数据库绝对路径，成功得到了7个管理员账号和密码。

但是悲剧的是7个管理员账号只能破解出两个，而且这两个管理员账号登陆进后台还没有后台权限，还是第一次遇到这种情况，运气背到家了。

后台进不去，思路到这里就断了，明明可以看到网站的所有内容，但是就是拿不到WEBSHELL，这种感觉就像是明明已经看到了房间里放的水果，就是打不开门去拿。虽然很费劲，但是也决不会轻言放弃。过了一天，再来看这个网站，觉得还得从列目录下手，看看网站还有什么可利用的，果然，功夫不负有心人，在百货公司这个网站里又发现了一个GBOOK的目录，打开一看，是个留言模块，还有一个数据库。

在浏览器里打开数据库，呵呵，被解析了，役有防下载设置。

这下就简单了，在数据库里插马就可以拿到WEBSHELL了，访问留言目录的后台，默认密码直接进来了。

可以在修改管理员资料这里插入一句话木马，这里的一句话木马需要加密一下防止被过滤掉。使用ANSI2UNCODE这个工具加密一句话。

我们使用的一句话木马为<%executerequest(“a”)%>a，在一句话后面加上a可以保证加密后的语句不出现问号，在管理员资料这里插入一句话木马点击保存。

再来访问数据库，可以看到提示类型不匹配，木马已经插入成功了。用一句话木马客户端连接，成功上传我们的小马。

小马拉大马，成功上传大马，拿到WEBSHELL。

接下来就是提权了，在WEBSHELL里发现了SERV-U，提权就很简单了，成功加了用户，然后登陆系统。

检测到此结束，危险漫步希望可以和大家在这里共同进步！