记一次iis6.0解析漏洞getshell

起初想对母校进行一次友情检测，实在没有找到突破口就想从旁站看看，然后就有了这篇文章，但是最后没有提权成功，很气~

旁站有很多个，但是要么是找到漏洞找不到后台，要么找到后台直接是个静态页面，搜寻了很久之后，最终在这个废品网找到了突破口！

随手一试，果然试出了问题，一个单引号竟然报错了，而且能够显示服务器的主机物理地址，不管有用没用，先记下来再说~

接下来就是扔sqlmap，因为报错会出错，所以八九不离十一定会存在注入点~

果然这里显示有两种注入方法，但是最重要的是！我们获得了其服务器的关系，操作系统为2003或XP，中间件用的是IIS6.0，PHP版本5.2.17，Mysql服务器为5.0.12版本~这里起初我没留意，但是后面的一个渗透尝试让我直接getshell~

这里是数据库的表名，很多，没有全部贴出来，这里最重要的是zc_users！因为要登录后台，所以我们需要拿到管理员的账号密码~

继续列名，这里的话凭经验我一看就看出，login为账号，passwd为密码，其他像mobile就显得不是那么重要了，但是如果这个库特别大，有时用户数可能达到几十万，这时候可能用户的数据比管理员的账号密码更重要~

终于猜到了管理员账号密码，虽然可以直接进行MD5解密，但是专业的我还是数了一下密码位数，一共40位，sha1跑不了了。。

花了一毛，得到了这个密码，接下来我们拿账号密码来登录后台~

这里的E站无忧，第一眼我看上去以为是它的后台，后来百度才知道这是个建站平台，提供服务器空间啥的，，可能是建站时间较早，后台功能很简陋~

简陋的后台就不显示了，，找找看有没有上传点~这里编辑文章可以上传图片~

第一次尝试我先上传一个图片看看文件名是否被重命名，因为这个重命名功能很多站基本都是束手无策，不过这站好像不维护，所以竟然没有重命名~文件名可控！最后就是利用服务器的解析漏洞！

猛然想到服务器是啥？iis还是nignx还是Apache。。。忽然想到之前就已经收集了信息，中间件是iis6.0。。那么直接利用iis6.0的解析漏洞即可~

iis6.0解析漏洞描述：

网站上传图片的时候，将网页木马文件的名字改成“*.php;.jpg”，会被 IIS 当作php文件来解析并执行。例如上传一个图片文件，名字叫“vidun.php;.jpg”的木马文件，该文件可以被当作php文件解析并执行

上传一句话木马即可~

后续想提权，但是一直上传文件失败，这种一个服务器上有很多网站的，基本安全性都做得很好，不会存在跨库。。

这里的iis6.0解析漏洞getshell到此就结束了，由于现在文件基本都会存在文件名重命名功能，很少会遇到解析漏洞的网站，这里就当记录一下，小白可以学习下~

相关推荐: 火种CTF-writeup

暑期有空参加了火种CTF的比赛，比赛总的来说不是很难，但是web部分遇到了很多困难，不过cryto较为简单，全部做出来了。逆向是一如既往的放弃，我要开始好好学逆向了~ 附比赛的wp: 传送门：火种CTF-wp 相关推荐: 利用java复现 ES文件浏览器 CV…