进一个烂站的过程,大牛勿进！

　　1、信息搜集

　　页面是html的，内容url为http://www.xxoo.com/html/News/Notes/pages/2013/12/24/81.html，应为动态页生成的

　　从response header判断web容器为iis6，win2k3服务器：

　　Accept-Ranges:bytes

　　Content-Length:49153

　　Content-Location:http://www.xxoo.com/index.html

　　Content-Type:text/html

　　Date:Fri, 16 May 2014 06:10:38 GMT

　　ETag:"f8bfa8xxxcf1:c0c7a5"

　　Last-Modified:Sat, 28 Dec 2013 14:11:40 GMT

　　Server:Microsoft-IIS/6.0

　　X-Powered-By:ASP.NET

　　google 百度 bing 搜了下 site inurl，没有发现如何动态页的路径，暂时不清楚目标是什么cms的;

　　2、网站扫描

　　请出wvs，

　　扫描发现有个wishmanagesite 目录，访问之，结果Directory Listing Denied。如图：

　　ok!目录存在。接下来就是找后台登录页面了。我能想到的思路有两个一个是猜，如login.asp(x) index.asp(x)之类的;另一个是去搜索类似网站程序的网站。

　　我用了第二个，走起google，果然有收获，如图

　　访问了搜索结果中的url，这个站居然可以列目录，文件全部显示，呵呵，看来人品不错，如图：

　　3、找后台

　　wishmanagesite目录下有个admin_login.aspx文件，呵呵，登录页非他莫属，回到目标站，访问之，OK，登录页显示出来了，如图

　　4、登录后台，万恶的弱口令

　　密码咋办呢??!!试了几个密码都不对，万能的也试了试，没进去，然后我就用之前能列目录的站去找有可能的注入去了，就这样找啊找……找啊找……，最后还是没找到，好像网站上有过滤.

　　很多看似可注的地方都不行，郁闷之际还是回归最没水平的方法吧---默认密码，这个cms好像叫wish cms ，搜了下不太出名，结果和目标站的情况不太匹配，后来搜到这么个结果，如图： 

　　发现了 admin 123456的组合，我当时在想用户名密码能这么弱智吗?我刚开始试密码的时候都没尝试这个，不过我还是试了一下，悲催的事情发生了，啊啊啊啊啊啊啊!!居然进去啦～～～

　　fuck!!!我撞墙的心都有了!!唉，手还不够贱，干嘛不多试几次!!

　　5 上传拿shell

　　这个后台页面是阉割过的很多功能全部禁用掉了，只有发布新闻的功能可以用，连用户管理都没有，比较蛋疼。还是找上传点吧～～～

　　常规思路是找些editor的上传、文件管理什么的，我试了下，editor是fckeditor的2.6.4的版本，网上有些漏洞，但这次我没有用这些洞。我直接传aspx格式的东西，后台果断不让传，这也正常。

　　由于我有之前翻目录找注入的经历，所以对后台的很多文件看的比较到多，进行到这里发现之前的努力也并非白费。

　　之前的发现：/WishManageSite/webcontrol/Webs_FileManage.aspx 必须登录后台才能访问，这个页面是文件管理页，可上传，试了下直接可以上aspx，到这里就别客气了，上传后找对应的路径，接着就是大小马儿齐上阵，挥舞菜刀向前冲啦!!

　　上去发现，这个站就是个空间，权限很小，懒的搞了，本来就是想看看这个cms是什么东西，呵呵，擦屁股走人。

原文地址:https://hack.77169.com/201604/226042.shtm