数据库备份拿webshell

测试之前

数据库备份拿webshell算是比较老的web后台才有的一个漏洞,之前也做过类似的,这次偶然有机会帮朋友看来一个类似的站,所以在此分享一下。仅供学习,严守底线。

测试开始

$ http://xxxxxxx.com/Manage/login.asp

登陆界面:

帐号密码是弱密码。然后进后台简单的看了看,发现是kindeditor的编辑器,13年的应该是4.1.10,所以之前爆出的漏洞基本不能使用:

因为是很老的框架了,然后也会有网站根目录以及一些敏感信息:

然后发现有数据库备份,这网站基本凉了:

通过前面的信息我们可以看到这是asp+iis的站点,但是数据库备份的地点原始数据库不能更改但是备份数据库的可以更改,这比较简单,突破一下,抓包改一改就行。 然后现在我们先要上传一个图片的木马为数据库备份做准备,为啥呢? 简单说一下数据库备份拿shell的原理,数据库备份是为网站管理者提供备份数据的功能,网站管理者可以将指定位置的文件进行备份,但是为了安全,网站后台都是不允许我们自己指定位置的,比如我们现在这个,但是这个一看就是在前台加的限制,后台没有校验,所以我们可以向上传一个写入小马的图片文件,然后得到他的路径,在将这个路径进行数据库备份,备份是指定w为asp后缀就行。 上传图片:

firefox看一下返回的路径就可以了,然后备份数据库抓包更改路径:

然后改一下需要备份的路径就行了,猜测一下路径:

然后重发就可以了:

看到这个返回就知道成功了,可以看到这个是有waf的,有狗的话可以注意过狗,狗的话虽然看着很凶,博主最近和狗打了太多的交道了,也就那几招,过多了就发现就是傻狗。一句话变相一下就行。 不过我们发现这里并没有爆出备份后的路径,这个大概猜一下就行实在猜不出来可以自己看一下这个框架了,毕竟马都传上去了。大概看了看,返回有FolderBackUp.asp然后请求的是/Manage/DataBackUp.asp这个路径,然后后台也说了备份文件夹是databackup,大概测了测就猜到了:

$ http://xxxxxx.com/Manage/databackup/mssqldb.asp

然后菜刀连接一下就行了:

好了,就到此为止了,后面的就不往后深入了,清理痕迹。

结语

仅供学习,勿做他用。

来源:R_song's blog

http://www.raosong.cc/2019/04/15/12.%20%E6%95%B0%E6%8D%AE%E5%BA%93%E5%A4%87%E4%BB%BD%E6%8B%BFwebshell/

本文分享自微信公众号 - HACK学习呀(Hacker1961X)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏微信公众号:Java团长

Arrays.asList存在的坑

来源:juejin.im/post/5d10e52ee51d454f6f16ec11

10310
来自专栏sktj

python pycuda进行GPU编程(并行编程 38)

CPU是被设计用来处理复杂任务的,而GPU只能做好一件事-处理百万级的低级任务(原来是被用来生成3D图形中的三角形),而且GPU有上千个ALU(算术逻辑单元),...

44240
来自专栏卯金刀GG

springmvc整合axis2 过程

项目需要使用springmvc发布一个对外的服务,原来使用spring+cxf的结合,使用axis2的客户端调用,没有任何问题,但是使用pb9的客户端调用,一直...

13830
来自专栏卯金刀GG

c3p0之DEBUG -- CLOSE BY CLIENT STACK TRACE

本文转载自:http://blog.csdn.net/rchm8519/article/details/40147745

12730
来自专栏Java3y

Arrays.asList()原来是这样用的

Arrays.asList()在平时开发中还是比较常见的,我们可以使用它将一个数组转换为一个List集合。

17510
来自专栏程序员成长指北

一文搞懂JS中的赋值·浅拷贝·深拷贝

为什么写拷贝这篇文章?同事有一天提到了拷贝,他说赋值就是一种浅拷贝方式,另一个同事说赋值和浅拷贝并不相同。我也有些疑惑,于是我去MDN搜一下拷贝相关内容,发现并...

18520
来自专栏R语言交流中心

R语言携手Python绘制weblogo图

我们知道R语言在作图统计方面很是实用,但是在其他游戏开发、网页制作、人工智能等很多方面相对于python是很局限。今天我们来以weblogo为例展示如何在R语言...

12320
来自专栏洛米唯熊

上传的验证绕过

一般这种就是只是做了前端的后缀格式限制。先把马改成能正常上传的格式,开启抓包,上改了后缀的马,抓包,改马的后缀。放行。成功绕过

14430
来自专栏java思维导图

Arrays.asList()使用指南

最近使用Arrays.asList()遇到了一些坑,然后在网上看到这篇文章:http://javadevnotes.com/java-array-to-list...

6730
来自专栏信安之路

一次住酒店的意外收获

随便测了一下,发现登录时错误回显不一致,参数值用了 md5 算法加密传输,不过依然可以爆破账号,在这里这个不是重点,就不试了 手工试了了试,没猜出来 ヽ(ー_ー...

12620

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励