三，胜利在望
真扫兴啊，居然权限设置，那么还是把目标回到主站上面去吧。兴许主站上也有ewebeditor。既然80不好入侵，先扫扫主机有没什么明显的漏洞，拿上x-scan就开扫。

就扫出3个开放端口。希望又破灭。继续回到主站的web程序看，接下来只能看看是否存在别的程序，继续在baidu里面site: www.lnwlw.com，找找别的程序。忽然一个亮点！look

eWebEditorNet程序。正好想起以前拿到过一个这种程序的0day，今天正好派上用场了。0day也不知道公布了没，这里简单说说原理。
原理：eWebEditorNet/upload.aspx文件

以下是引用片段： <form id="myform" method="post" encType="multipart/form-data" runat="server"> <INPUT id="uploadfile" style="HEIGHT: 18px" type="file" size="28" name="uploadfile" runat="server"> <asp:linkbutton id="lbtnUpload" runat="server"></asp:linkbutton></form> <script language="JavaScript"> // 上传表单已装入完成 try { parent.UploadLoaded(); } catch(e){ } </script>

只是简单的对文件ID进行验证，只要构造javascript:lbtnUpload.click();就满足条件。
下面开始利用，打开eWebEditorNet/upload.aspx，选择一个cer文件。

再在IE地址栏里面输入javascript:lbtnUpload.click();回车就得到shell了。查看源码就可以看到上传shell的地址。

下面用一句话连接一下。


四，总结
本次入侵实话说没什么技术含量，只是给大家大家带来了一次不完整的入侵，之所以不完整是因为3389没拿，呵呵，没那必要了，安检适合而止就行了。

上一页  [1] [2] [3]