在一次项目的渗透过程中,目标是一个门户网站。 首先使用云悉识别到该网站使用的是海纳CMS(HituxCMS) 该CMS的数据库默认存放的位置为:Data21293/NYIKUGY5434231.mdb 尝试拼接访问如http://xxxx.com/Data21293/NYIKUGY5434231.mdb 说明该数据库存在,可下载到本地。 本地查看下载到的数据库,在web_admin表中查看到后台管理员admin的密码md5值,解密得到密码明文。 该CMS的默认后台路径为AdminBeat/login.asp 使用从数据库中获取到的admin账号密码,登录到后台。 在“数据管理”-》“内容管理”-》“备份数据库”下,先进行一次正常的备份,抓包。 抓取的数据包如下: 接着在“文章管理”-》“内容管理”处新增一文章,选择一句话图片木马进行上传,点击“提交”。 这里上传后的文件名为:20218251803.jpg,但目前还不清楚该图片的绝对路径,于是接下来尝试查找上传图片的绝对路径。 文章在前台展示:http://xxxx.com/news_show.asp?t=331&id=1136(其中id值可以通过后台的文章编号查看) 但是通过查看前端展示的文章,并没有找到刚上传的图片地址。 于是尝试通过找别的文章上的图片地址,找到了一个图片的存放地址为http://xxxx.com/images/up_images/XXXXX254.jpg,猜测图片地址存放的目录为/images/up_images/ 于是拼接刚上传的图片木马地址访问:http://xxxx.com/images/up_images/20218251803.jpg 查看到刚上传的图片,说明这就是图片存放的地址。 接着,在上面抓取的数据库备份的请求包中修改OldData参数为上传图片的路径地址,NewData参数为备份的文件名及路径如../404.cer,后缀修改为cer,发送。 访问刚备份的含asp一句话图片木马文件http://xxxx.com/404.cer,说明已上传成功。 连接木马获取网站权限:http://xxxx.com/404.cer
师傅好,最后的cer文件会被解析是什么原理呢
Yuhzha 因为目标站点用的是IIS6.0,这个默认可执行解析的文件除了.asp以外,还包括asa、cer、cdx这三种后缀。asp后缀被限制了,所以就可以尝试用后面的3种后缀去绕过黑名单。
火线用户97e794 好的 谢谢师傅
师傅请问一下,您文章开头说的数据库文件默认存放位置,是下载了这个cms得知的还是百度呢,我通过百度没有查找到相关得信息
火线用户2ed5e7 知道了CMS后,百度得知的。
