记一次iis6.0解析漏洞getshell

起初想对母校进行一次友情检测,实在没有找到突破口就想从旁站看看,然后就有了这篇文章,但是最后没有提权成功,很气~

图片[1]-记一次iis6.0解析漏洞getshell-安全小百科

旁站有很多个,但是要么是找到漏洞找不到后台,要么找到后台直接是个静态页面,搜寻了很久之后,最终在这个废品网找到了突破口!

图片[2]-记一次iis6.0解析漏洞getshell-安全小百科

随手一试,果然试出了问题,一个单引号竟然报错了,而且能够显示服务器的主机物理地址,不管有用没用,先记下来再说~

图片[3]-记一次iis6.0解析漏洞getshell-安全小百科

接下来就是扔sqlmap,因为报错会出错,所以八九不离十一定会存在注入点~

图片[4]-记一次iis6.0解析漏洞getshell-安全小百科

果然这里显示有两种注入方法,但是最重要的是!我们获得了其服务器的关系,操作系统为2003或XP,中间件用的是IIS6.0,PHP版本5.2.17,Mysql服务器为5.0.12版本~这里起初我没留意,但是后面的一个渗透尝试让我直接getshell~

图片[5]-记一次iis6.0解析漏洞getshell-安全小百科

这里是数据库的表名,很多,没有全部贴出来,这里最重要的是zc_users!因为要登录后台,所以我们需要拿到管理员的账号密码~

图片[6]-记一次iis6.0解析漏洞getshell-安全小百科

继续列名,这里的话凭经验我一看就看出,login为账号,passwd为密码,其他像mobile就显得不是那么重要了,但是如果这个库特别大,有时用户数可能达到几十万,这时候可能用户的数据比管理员的账号密码更重要~

图片[7]-记一次iis6.0解析漏洞getshell-安全小百科

终于猜到了管理员账号密码,虽然可以直接进行MD5解密,但是专业的我还是数了一下密码位数,一共40位,sha1跑不了了。。

图片[8]-记一次iis6.0解析漏洞getshell-安全小百科

花了一毛,得到了这个密码,接下来我们拿账号密码来登录后台~

图片[9]-记一次iis6.0解析漏洞getshell-安全小百科

这里的E站无忧,第一眼我看上去以为是它的后台,后来百度才知道这是个建站平台,提供服务器空间啥的,,可能是建站时间较早,后台功能很简陋~

图片[10]-记一次iis6.0解析漏洞getshell-安全小百科

简陋的后台就不显示了,,找找看有没有上传点~这里编辑文章可以上传图片~

图片[11]-记一次iis6.0解析漏洞getshell-安全小百科

第一次尝试我先上传一个图片看看文件名是否被重命名,因为这个重命名功能很多站基本都是束手无策,不过这站好像不维护,所以竟然没有重命名~文件名可控!最后就是利用服务器的解析漏洞!

图片[12]-记一次iis6.0解析漏洞getshell-安全小百科

猛然想到服务器是啥?iis还是nignx还是Apache。。。忽然想到之前就已经收集了信息,中间件是iis6.0。。那么直接利用iis6.0的解析漏洞即可~

iis6.0解析漏洞描述:

网站上传图片的时候,将网页木马文件的名字改成“*.php;.jpg”,会被 IIS 当作php文件来解析并执行。例如上传一个图片文件,名字叫“vidun.php;.jpg”的木马文件,该文件可以被当作php文件解析并执行

图片[13]-记一次iis6.0解析漏洞getshell-安全小百科

上传一句话木马即可~

后续想提权,但是一直上传文件失败,这种一个服务器上有很多网站的,基本安全性都做得很好,不会存在跨库。。

这里的iis6.0解析漏洞getshell到此就结束了,由于现在文件基本都会存在文件名重命名功能,很少会遇到解析漏洞的网站,这里就当记录一下,小白可以学习下~

相关推荐: 火种CTF-writeup

暑期有空参加了火种CTF的比赛,比赛总的来说不是很难,但是web部分遇到了很多困难,不过cryto较为简单,全部做出来了。逆向是一如既往的放弃,我要开始好好学逆向了~ 附比赛的wp: 传送门:火种CTF-wp 相关推荐: 利用java复现 ES文件浏览器 CV…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论