入侵检测一地方门户分析

一、入侵采点开始
A站是一地方最大的门户站，用户量达70W，A站和其子站全是以自己公司设计制做的ASPX动态脚本为主体结构，以ASPX为整站结构的网站我喜欢找编辑器目录开始下手

 




A站为Dz!netBBS结构，操起wwwscan开扫，看扫得到什么敏感目录，在扫目录同时开始查旁站，发现是独立服务器。回到A站上右键使用360浏览器下载全部连接，



，A站图片文件存放在以admin开头的玉米目录下，看来是专门管理网站的地方，用咱T00LS的旁注扫描器扫描了一下，发现和A站同一个服务器，访问之，跳转到了A站主页上了，加个admin看看。



出现了登陆页面，开始使用各种弱口令万能密码猜解，无果。。看了下wwwscan的扫描结果，存在的目录和文件少的可怜，断定了主站的更新和用户管理是在这里完成，停掉了wwwscan，开始转向其他子站，经查询以下3个服务器存在他们的子站：



127.0.0.1子站，客户站



127.0.0.2主站BBS



127.0.0.3子站相薄游戏



发现127.0.0.1分站较多，决定从127.0.0.1这个IP下手，打开几个企业站，看了下结构发现是A站公司承包制做，连后台登陆页面也一模一样，还是弱口令万能密码猜解之，还是无果



回到主页，照旧下载全部连接发现敏感目录eweb，


在eweb目录后面加个eWebEditor.htm看看。。。






存在eWebEditor.htm文件，版本是4.4的。这个版本很少看见。不知道是asp版本还是net版本，访问asp目录看看，不存在asp目录，打开漏洞，下载了原码本地搭建，发现完整版本存在后台，后台目录为admin,可以添加样式等等，回到企业站上一试，不存在admin目录，猜测eweb后台被删除。eweb编辑器拿SHELL思路中断。。

继续找其他同服站，来到A站的娱乐博彩子站。发现图片存放目录和其他子站不同，由此猜测有其他编辑器存在，开起wwwscan就扫，夜也深了，明早再来看结果把，第2天，一大早就醒了，看下wwwscan扫出来的结果。

有点失望，上M的字典也没能扫到编辑器目录，开始访问扫出来的后台连接，访问http://www.xxxooo.com/admin/left.aspx时，竟然是后台菜单，后台验证不足可以直接访问。


思路来了，马上点击管理员设置，找到添加管理员连接访问之，跳转到了后台登陆页，猜测是JS验证，换了个firefox浏览器，点击firefox上的选项，将启用javascript的勾去掉。访问添加管理员连接http://www.xxxooo.com/admin/addadmin.aspx?action=add出现了添加管理员页面，：


立即添加用户名，密码为123的管理员进去，到后台成功登陆。看后台显示的物理路径判断是星外主机，开始找编辑器，如果是FCKeditor就好办了，可还是失望了，后台用的还是ewebeditor编辑器4.4，无后台。。另外一处上传用尽了能想到的办法还是没办法突破，放弃。。回到管理员管理处，看到存在其他7个管理员，密码还是明文显示，果断把用户密码copy下来。。兴冲冲的跑到A站管理登陆页面尝试登陆，还是无果，看来这些用户只负责分站的管理更新，A站后台无权进入。接下来怎么办？还是老办法，A站后台进不了，尝试其他分站看看怎么样。。来到A站一个分站后台，用kim用户登陆后台成功。继续找上传点，在添加参赛者处直接成功上传aspx一句话



菜刀连接，找到可写可执行目录执行cmd运行cscript.exe读VBS获取星外用户密码，成功得到服务器权限，和服务器所有站点的FTP用户密码。不想引起太大的动静，并没有登陆服务器。