打開網(wǎng)站發(fā)現(xiàn)IIS設(shè)置了允許目錄瀏覽，這就好辦了。服務(wù)器上的文件全在我們眼皮底下了。

　　如圖1：
　　接著在http://www.jinbenteng.com/yth2/看見articles目錄，articles中文是文章的意思，
　　肯定是文章系統(tǒng)，還看到articles.rar



圖2
　　用迅雷下載回來一看，果然是該站新聞系統(tǒng)的源代碼。打開里面的網(wǎng)站數(shù)據(jù)庫，找到管理用戶3個。密碼經(jīng)過MD5加密了的，超管的密碼無法找到。不過破解了兩個文章管理員的密碼



圖3
　　用普通用戶登陸到后臺，發(fā)現(xiàn)只能寫文章。



圖4
　　不過我們能夠自己修改密碼。


圖5
看到用戶名一欄了吧，tonesung是只讀屬性，并不能修改，我們把該頁面保存到本地，
修改去掉readonly
再修改action="http://www.jinbenteng.com/yth2/articles/admin_admin2.asp?id=26"好了，我們把tonesung改成超級管理員的賬號名：金奔騰公司密碼不變。



圖6
　　提交后提升成功!



圖7
　　到這里還未結(jié)束，我們只是把普通管理員的用戶名修改成與管理員一樣的名字了。權(quán)限依舊很低。
　　我們再去http://www.jinbenteng.com/yth2/articles/admin_admin.asp下修改密碼。
　　這次不需要本地提交了，直接換個新密碼，這時修改才是修改超級管理員的密碼。



圖8
　　提交修改后提示成功!
　　我們退出再用管理員賬號 修改后的密碼登陸成功!



圖9
　　到了這一步，拿webshell就非常容易了，備份、修改上傳限制都可以成功
　　假設(shè)上面的提權(quán)方法不成功，我們還有第二種方法。我們通過目錄瀏覽看到http://www.jinbenteng.com/yth2/articles/data下的asp后綴數(shù)據(jù)庫。



　　圖10
　　這樣我們就可以插入一句話了，可是asp數(shù)據(jù)庫中含有防下載代碼，
　　直接訪問出現(xiàn)如下提示：
Active Server Pages 錯誤 'ASP 0116'
丟失腳本關(guān)閉分隔符
/yth2/articles/data/#db1.asp，行 37194
Script 塊缺少腳本關(guān)閉標記(%>)。



圖11
通過查看數(shù)據(jù)庫源文件發(fā)現(xiàn)里面有如下代碼：


圖12
　　不過我們可以過濾他。
　　我們先用普通管理員去發(fā)布一條新聞，發(fā)布新聞內(nèi)容里面填寫：┼砧



圖13
　　再打開http://www.jinbenteng.com/yth2/articles/ly.asp去留言!留言內(nèi)容填寫：┠礫



圖14
　　好了，我們再訪問
　　http://www.jinbenteng.com/yth2/articles/data/#db1.asp



圖15
　　呵呵，成功解析了。
　　下面又去留言，留言內(nèi)容輸入┼攠數(shù)畣整爠煥敵瑳∨∣┩愾┼砧再用ASP連接段連接。密碼為#。突破數(shù)據(jù)過濾思路，原創(chuàng)者的帖子地址：http://forum.eviloctal.com/viewthread.php?tid=29824&highlight=loop里面非常詳細的講解了具體利用過程以及原理!

最新評論