这个网站管理系统和之前我挖的那个网站管理系统差不多,都是一套源码,衍生出 XXX教师管理系统,XXX维修管理系统,XXX学生管理系统等这些产品,只要挖一个就能挖出所有产品的通用型漏洞。
挖这个管理系统确实是有一些艰难,主要是因为 ASP 的源码我不是很太懂,但是asp管理系统的漏洞确实很多。通过这次挖掘也算是学习到了点知识,特此记录下来。
①
看到管理员登录框界面之后先进行了一波审计,发现并没有进行太多过滤,很开心...
这里只简单过滤了 or 和 and ,尝试用 Or 或者 || 绕过即可,但是拼接后发现下面还有个 replace() 这里是把 单引号 替换成了双引号,我尝试用反斜杠进行转义, \' 无奈,转义失败 ,应该是没有办法了,此处确实不存在 sql注入
②
最坑爹的就是 试了一天半的 sql注入写shell
sql="select * from Article where id="7" union select '<PHP eval($_POST[shell])?>' into outfile '路径\小旋风AspWebServer\\wwwroot\\11\\shell.PHP' or "1"="1
参考的文章:https://blog.csdn.net/eldn__/article/details/8364337
各种尝试,因为是 asp语言,所以数据库通常是 access 或者 mssql的,我想都是基于 sql 的,应该没有什么不同,所以就下了套源码在本地审计 ,奈何,整整写马写了一天半,几乎把所有网上的 asp 写马的文章都简单浏览了一遍,得知 access数据库出于安全考虑,只能创建 xls 文件。。。。如果不配合解析漏洞,根本没法写马。。。。。
不过通过这个写马我学习到了不少asp 渗透的知识,也发现了当前存在的许多问题。
③
登进后台发现有一个数据库备份的功能,很是开心,感觉马上就可以 getshell 了,谁知,这tm只是张图片,商业版才有使用权限.....
④
后台有好几处允许文件上传和上传图片,奈何,转包改包无法进行绕过。查看源码后,发现对后缀名进行了过滤,只有配合解析漏洞才能执行。
⑤后来想到了可以 通过友情链接 getshell ,遂寻找这类可能存在的注入点,在一处发现了可以上传 html 文件的地方,不允许换行,先尝试构造 PHP 一句话 ,成功写入,就是对asp一句话不是很明白,也不懂如何构造,想今年护网的时候请教请教大佬。
还有很多别的功能点没有审计,不过下载这套源码的初衷就是学习 getshell ,所以到这里就可以告一段落了,下面说说遇到的问题。
asp属于比较古老的开发语言了,安全方面怎么说呢,因为当初早期开发人员的安全意识不是很强,ASP支持的函数和PHP相比不算很多,并且asp在有些方面权限很低,比如说 access 数据库就不像 MysqL 数据库支持创建任意文件,这就导致了写shell只能配合文件解析漏洞使用,但是aspx的马权限很高,所以说 asp 是既不安全,又有些安全。
并且我前几天刚用过一个asp的马,这个马是零几年的时候别人写出来的,到现在居然还可以正常使用,并且提权什么的还很好使,真是让我感到有些诧异,不知道开发人员的安全意识十几年了有没有提高些。。
当时用别人的马感觉确实不是很踏实,别人留个后门啥的很正常。。。所以未来也打算 学一学自己写马,这应该不是什么难事儿。
这几天审计的过程中不断搜索学习,看到了很多零几年的渗透文章,核心本质的内容都没变,写马的某些技术我都没有了解过,突然感到知识的贫瘠,连零几年发表在黑客论坛上的文章内容都还没有掌握。
有失有得,得 > 失
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
