对动易CMS的一次XSS攻击以及UDF提权 小菜文章~ 求基友 求交流 me@startend.net
目标检测站点:www.xxoo.net
使用环境:ASP.NET
检测IP下站点数量
获得网站主机头信息
=============================================================
0x003
扫描敏感信息
=============================================================
得到xxxxx.net 是动易 2006 的网站程序,也是同IP下的站点
得到敏感文件但是已经失效URL:www. xxx.net/新建 文本文档.txt
0x004
拿后台
=============================================================
开始找到其网站程序的EXP,使用网上的EXP均失败
再百度动易网站默认密码
扫描的出其USER 登入页面
http://www.2cto.com /user/User_Login.asp
输入默认账号密码
登入成功
然后利用短消息跨站
首先
新建一个短消息收件人为admin(本人)
点击
填入我们已经构造好的XSS
<img src="Skin/blue/powerease_logo.gif" onload="resizepic(this);function resizepic(){alert(document.cookie)};">
然后点击发送
然后再次登入会弹出
到此我想说明下是我如何利用该网站的XSS 漏洞 的,众所周知CMS一般对脚本代码过滤的非常严谨,然而对CMS对它自己所要使用的脚本就放过了,像Script标签基本是被封杀掉的,然而我恰恰通过之前的看过的文章链接到动易6.6以下对]onlad]是完全放行的所以也就形成了我之前构造的XSS 脚本,既然我们得到了COOKIE 那么我们再进行进一步的利用吧!
我们拿到的COOKIS 里面已经包含了一串加密的密码
Hm_lvt_eddb995cea3de2f0fd37f4791d8c86ec=1351139202577,1351149641115,1351151802194,1288058064653;ASPSESSIONIDQQDCTQDB=DPBKFEEAGDBOEAKPMBCBCDOJ;ASPSESSIONIDSQCCRRCA=GKONHNABPMPDPMOGNJFGLIAG;SendMessage=No;xxxxnet=LastPassword=xxxxxxxxxxxxxxHL%26UserName=xxxxxxxxxx%26CookieDate=0%26UserPassword=xxxxxxxxxxxxxxxxxxxxxxxx
Username=xxxxxxxxxx
Password=xxxxxxxxxxx ps:我晕它本来就是默认的 我是来说思路的。。
得到后台地址http://xxoo.net/admin/Admin_login.asp进入
管理认证码 得来全不费工夫
接下的事情就是要进行传WEBSHELL
0x005
拿webshell
文章开头已经扫到该网站是IIS6.0的服务器 既然是IIS6.0 那么就存在着解析漏洞
首先我们在 下载 中心处的下载中心设置找到上传文件的保存目录 然后如图
把文件夹命名成test. asp 然后如图上传一个小马
小马命名为xxx.doc即可
点下源代码导出我们的地址然后进入小马放入大马
上传完大马后我们进入提权状态
0x005
提权
PR 巴西烤肉 xiaoA II6 API 溢出各种提权无力
传了一个cmd上去敲了一行指令 tasklist 一看毫无杀软的痕迹
这说明我们现在很容易拿站也就是说配置一个远程控制软件上传后利用webshell的cmd运行就可以了,但是我们这次是友情检测就不给服务器安装什么了。 那么我只能想办法了!
打开IIS信息一看 顿时就来劲了!
里面居然有11个IIS的信息 然后 开端口扫描一看再度震惊。
1433 传说中的MSSQL啊
3306 传说中的MYSQL啊
而且站多肯定有配置文件 我翻啊翻~
管理员意识到位 把盘符写入权限做的很好也就是说我只能在我本目录里找了
运气不错 找到了MSSQL的 利用WEBSHELL提权试试
进去了一看郁闷啊!!!原来是公用权限。。。。放弃继续找
嘿嘿管理员把D盘权限做的这么好E盘就是完全开放读写权限的被我翻到了
Mysql的ROOT!
上传工具提权之!
至此帐号密码添加完毕 登入服务器一看
我也没留什么后门直接擦屁股走人
保险起见再用CleanIISLog.exe 再清一遍
查看更多关于动易xss拿站小记 - 网站安全 - 自学php的详细内容...