任意文件下载漏洞 aspx站点

1) 利用sql server渗透
对于aspx站点一般后台都是sql server数据库,因此利用该漏洞的最简单的方法是直接获得数据库密码,直接登录数据库,利用sql server完成渗透。

http://www.test.org/DownLoadFileLow.aspx?FileName=Accompanying_Persons_Tour_Program.pdf

首先确定网站根目录下载web.config文件,aspx站点用根目录下的web.config文件保存配置信息
尝试确定根目录:
http://www.test.org/DownLoadFileLow.aspx?FileName=../web.config
错误信息:

该错误信息,确定网站的绝对路径(在后面的差异备份用到)

http://www.test.org/DownLoadFileLow.aspx?FileName=../../web.config

打开配置文件找到连接数据库项:

判断sql server 是否可以远程连接

可以远程连接

使用sql server连接服务器

登录成功:

已经获得网站的绝对路径,直接使用差异备份获得shell,即可.

使用菜刀 连接一句话

连接成功

完成渗透。

2) 下载dll文件
Aspx站点一般都会对后台源代码进行编译封装,保存到dll文件中,放到网站根目录的Bin文件夹下,因此,可以利用下载点下载dll文件,获得网站源代码。
一个下载点:
www.test.com.cn/DownLoad.aspx?fileName=%C4%EA%B6%C8%C9%F3%BA%CB%B1%ED.doc

两次回溯确定网站的根目录

发现数据库连接失败,不能使用上述方法,因此,尝试通过下载源码,渗透。
首先下载DownLoad.aspx文件,主要是想查看这个aspx站点是否将源代码放到dll文件,这样的话就可以直接下载dll获得整站(不准确)的源代码。

下载后打开: http://www.test.com.cn/DownLoad.aspx?fileName=../../DownLoad.aspx

在此尝试下载对应的DownLoad.aspx.cs文件
http://www.test.com.cn/DownLoad.aspx?fileName=../../DownLoad.aspx.cs

失败,说明本站点的源代码放到dll文件中,并且DownLoad.aspx对应的源代码是xkcms.webForm.DownLoad,现在主要来猜解一下dll文件名,由这个命令空间
xkcms.webForm.DownLoad可以知道DownLoad不是,只能一个一个猜测。

http://www.test.com.cn/DownLoad.aspx?fileName=../../bin/xkcms.dll

http://www.test.com.cn/DownLoad.aspx?fileName=../../bin/webForm.dll

猜测成功,dll是被编译过,直接使用.net reflector工具打开编译后的dll文件。
获得网站源代码如下:

首先看一下,download.aspx文件对应实现代码:

可以看出,没有对fileName参数做任何过滤直接下载请求文件,导致任意文件下载漏洞。

当然最关心的还是网站是否存在其他漏洞,最喜欢的当然是上传漏洞。
找到网站的上传位置

该上传页面没有对上传文件进行过滤导致可以直接上传,测试一下:
访问上传页面:

选择aspx后缀文件

然后到保存上传文件的路径下查看是否上传成功,

可见上传文件成功,直接将上传文件内容,改成aspx代码,即可获得webshell.
当然这是一个特例,注意安全的网站都不会这么差的,但是一般拿到源码总会找到漏洞,只要有时间…就不在举例子了.

时间: 2024-12-07 02:23:24

任意文件下载漏洞 aspx站点的相关文章

任意文件下载漏洞 jsp站点

出现位置: 一般的网站都提供下载文件功能,常规的思路是使用一个动态页面(php.jsp.aspx.asp等)将待下载文件作为参数一般参数名称为filename,如.php?filename/.jsp?filename等.一般实现过程是,在根据参数filename的值,获得该文件在网站上的绝对路径,读取文件,然后是直接发送给客户端下载.一般实现代码如下:(jsp实现文件下载的代码,其它语言实现过程类似)<%@ page contentType="application;" %>

任意文件下载漏洞 asp站点

一般的asp站点都是access数据库(连接sql server 直接可以参考aspx站点的利用方法).而access数据库可以直接下载,因此利用该漏洞比较简便的方法就是直接下载access数据库,找到管理员密码登陆后台,利用后台的上传功能,上传shell. 一个asp下载点http://www.testcn/GraduateSchool/dlsd/download.asp?filename=012%C5%A9%B2%FA%C6%B7%BC%D3%B9%A4%CB%F9.doc 确定站点根目录:

任意文件下载漏洞 php站点

php一般是mysql数据库, 一般mysql数据库禁止远程连接,但是可以使用phpMyAdmin进行管理.www.test.edu.tw/download.php?filename=../conf/config.php &dir=/&title=config.php下载获得mysql数据库的用户名和密码是root权限 直接使用phpMyAdmin登录http://www.test.edu.tw/phpMyAdmin/index.php?lang=en-utf-8&convchar

(原创)浅谈任意文件下载漏洞的利用

文章写的一般,如果有错误的地方,请指教~ 0x01 任意文件下载常见利用方式 0x02 信息收集部分 0x03 代码审计部分 0x04 总结 0x01 前言 在web语言中,php和java常常会产生任意文件下载漏洞,由于渗透测试的需要,常常需要进一步getshell,笔者对常见的任意文件下载漏洞常见的getshell方式进行总结.欢迎指出不足和错误之处 0x02 利用方式介绍 信息收集信息>猜路径 >>下载配置文件/代码文件 >> 利用服务器软件漏洞> shell&g

【代码审计】CLTPHP_v5.5.3后台任意文件下载漏洞分析

  0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/cltphp 默认后台地址: http://127.0.0.1/admin/login/index.html 默认账号密码: 后台登录名:admin  密码:admin123 测试网站首页: 0x01 代码分析 1./app/admin/controller/Database.php  第203

代码审计之Finecms任意文件下载漏洞

PS:该漏洞已被公布,只是学习.故自己跟着大佬的步伐审计. 漏洞所在文件地址:\controllers\ApiController.php Line 57 public function downAction() { $data = fn_authcode(base64_decode($this->get('file')), 'DECODE'); $file = isset($data['finecms']) && $data['finecms'] ? $data['finecms'

任意文件下载(pikachu)

任意文件下载漏洞 很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件. 但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件.(任意文件下载) 在靶场的unsafe filedownload栏目可以看到 这些球星 这里提示我们,点击球员的名字可以下载, 我们尝试点击一下 确实是进行了下载,但是我们右击球员的名字,选择新建标签页打开链接 在下载的同时,我们看到了下载的url 这里通过get请求,下载了名为kb.p

winmail getshell源码分析(任意文件下载)

http://www.tuicool.com/articles/BFZ7Rze 根据此链接分析 winmail中全局变量全部在./inc/config.php中定义.如果出现变量覆盖漏洞则可以覆盖任意全局变量. 根据作者思路先看wap.php这个文件. switch ($dest){case 'index': include('../wap/index.php'); break; 当wap.php?dest=index时调用index.php文件 观察index.php(位于../wap/ind

DocCms存储型XSS+后台任意文件下载上传+目录删除+sql执行(有条件可getshell)

下载链接 https://share.weiyun.com/46ebceb4fe91da144ad2661522a941e1 留言处存储型XSS 漏洞在content/guestbook/index.php function create() { echo 123; global $db,$request; if ($_SESSION['verifycode'] != $request['checkcode']) { echo '<script>alert("请正确填写验证码!&qu