对动易CMS的一次XSS攻击以及UDF提权脚本安全 -电脑资料

By:Str0ng.

小菜文章~求基友求交流me@startend.net

目标检测站点：www.xxoo.net

操作系统：WINDOWS2003

IIS版本：6.0

使用环境:ASP.NET

同IP下站点

0x001

检测IP下站点数量

0x002

获得网站主机头信息

=============================================================

0x003

扫描敏感信息

=============================================================

得到敏感文件但是已经失效URL：www.xxx.net/新建文本文档.txt

0x004

拿后台

=============================================================

开始找到其网站程序的EXP，使用网上的EXP均失败

再百度动易网站默认密码

扫描的出其USER登入页面

http://xxx.com/user/User_Login.asp

输入默认账号密码

登入成功

然后利用短消息跨站

首先

新建一个短消息收件人为admin(本人)

点击

填入我们已经构造好的XSS

然后点击发送

然后再次登入会弹出

到此我想说明下是我如何利用该网站的XSS漏洞的，众所周知CMS一般对脚本代码过滤的非常严谨，然而对CMS对它自己所要使用的脚本就放过了，像Script标签基本是被封杀掉的，然而我恰恰通过之前的看过的文章链接到动易6.6以下对”onlad”是完全放行的所以也就形成了我之前构造的XSS脚本，既然我们得到了COOKIE那么我们再进行进一步的利用吧！

我们拿到的COOKIS里面已经包含了一串加密的密码

Hm_lvt_eddb995cea3de2f0fd37f4791d8c86ec=1351139202577,1351149641115,1351151802194,1288058064653;ASPSESSIONIDQQDCTQDB=DPBKFEEAGDBOEAKPMBCBCDOJ;ASPSESSIONIDSQCCRRCA=GKONHNABPMPDPMOGNJFGLIAG;SendMessage=No;xxxxnet=LastPassword=xxxxxxxxxxxxxxHL%26UserName=xxxxxxxxxx%26CookieDate=0%26UserPassword=xxxxxxxxxxxxxxxxxxxxxxxx

Username=xxxxxxxxxx

Password=xxxxxxxxxxxps:我晕它本来就是默认的我是来说思路的，

对动易CMS的一次XSS攻击以及UDF提权脚本安全

电脑资料

得到后台地址http://xxoo.net/admin/Admin_login.asp进入

管理认证码得来全不费工夫

接下的事情就是要进行传WEBSHELL

0x005

拿webshell

文章开头已经扫到该网站是IIS6.0的服务器既然是IIS6.0那么就存在着解析漏洞

首先我们在下载中心处的下载中心设置找到上传文件的保存目录然后如图

把文件夹命名成test.asp然后如图上传一个小马

小马命名为xxx.doc即可

点下源代码导出我们的地址然后进入小马放入大马

上传完大马后我们进入提权状态

0x005

提权

PR巴西烤肉xiaoAII6API溢出各种提权无力

传了一个cmd上去敲了一行指令tasklist一看毫无杀软的痕迹

这说明我们现在很容易拿站也就是说配置一个远程控制软件上传后利用webshell的cmd运行就可以了，但是我们这次是友情检测就不给服务器安装什么了。那么我只能想办法了！

打开IIS信息一看顿时就来劲了！

里面居然有11个IIS的信息然后开端口扫描一看再度震惊。

1433传说中的MSSQL啊

3306传说中的MYSQL啊

而且站多肯定有配置文件我翻啊翻~

可是管理员意识到位把盘符写入权限做的很好也就是说我只能在我本目录里找了

运气不错找到了MSSQL的利用WEBSHELL提权试试

进去了一看郁闷啊！！！原来是公用权限。。。。放弃继续找

嘿嘿管理员把D盘权限做的这么好E盘就是完全开放读写权限的被我翻到了

Mysql的ROOT！

上传工具提权之！

至此帐号密码添加完毕登入服务器一看

我也没留什么后门直接擦屁股走人

保险起见再用CleanIISLog.exe再清一遍

​