---

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

---

0X01.前言

    本次测试为某专属厂商的一个后台网站,应该是一个很老的网站,还是使用的asp语言,是我自己自动化在AWVS的跑的敏感目录中采集到的,最近也是优化了很多方面,速度提升也不少,挖洞也是晚上回去看看手机上有没有资产随便挖挖,但还是收获不少,感兴趣的师傅可以去安装使用,github地址:https://github.com/Soufaker/laoyue,觉得有用的师傅可以帮我点个小星星,后续也还会持续优化。

0X02.漏洞实战

1.访问URL: https://axs1.acot.xxxx.com/Manager/Login.aspx,这里我说下,一般自动化采集的网站,域名越长越奇怪,你就越用力搞,这种网站一般搞的人比较少。

2.直接尝试爆破,发现验证码在数据包中携带,但是居然可以利用一直进行爆破,但是密码进行加密了,无所谓,等会解密,爆破用户名的时候发现当用户名为Administrator时候,返回长度不一样,后面多了个|1,这个1应该是指的登录次数吧,所以猜测这个就是系统的管理员账号,这也是一个思路,其实对于比较老一点的asp的系统,Administrator这个账号出现的频率还行,当我们admin这个账号感觉爆破半天没出货可以试试这个几个,Administrator,System,Manager,这几个确实也比较常见。

3.查看前端代码进行调试可以看出来,加密逻辑非常简单,也就是把你输入的密码和系统自动给你分配的验证码用GetCodePwd进下加密,直接利用bp的插件jsEncrypter，配合phantomjs-2.1.1-windows这个工具进下破解即可,下载前端wpmd5.js文件,随意放到哪个目录都可以,然后在phantomjs_server4.js文件里修改代码为前端加密的方法,随后在当前目录运行phantomjs.exe phantomjs_server4.js,bp设置插件监听端口和cmd命令行的一致8899,点击test就对你的密码字典进下加密了,如果实在玩不明白可以看看之前我发的一篇爆破相关的,工具使用讲的比较详细点。

4.现在就可以愉快爆破了,BP设置下编码为你的jsencrypter,直接top500就爆破出来了,居然是个弱口令,在密码字典的第29位,查看下字典29位置发现密码Admin@123

5.进入系统,对各个功能点测试下

6.上传处上传测试aspx打印helloworld脚本看看能否执行,这里传一个无危害的可以证明能执行代码的语句,<%@ Page Language="Jscript"%><%Response.Write("hello, world") ;%>

访问https://axs1.acot.xxxx.com/privatefiles/638175346065221006.aspx,确实可以执行,RCE了。

7.本次使用的字典为再一次对客户进下溯源发现的外国黑客留下的字典chinapass,自用还是很好用的,回复公众号:chinapass即可领取,下图为某平台我利用自动化最近获取的奖金。

0X03.挖洞总结

    之前喜欢挖挖逻辑漏洞,最近发现挖洞太费时间了,还是搞搞自动化,打打看着比较新,比较敏感的资产,或者跑出来的漏洞直接复现,后续会持续发一下内网,代码审计等相关的经验,还是多维度发展比较好。

 

原文始发于微信公众号（赤弋安全团队）：挖洞随记-一次轻松的src-getshell(附一个好用的弱口令字典)