友情检测某中学网站

    友情检测某中学网站

     

      今天没事做,就随便逛了逛,突然有人在群里说,学校开了个网站,于是就带着好奇心去  看看是什么系统。

     

      进来一看,竟然是Szwyadmin的系统(Szwyadmin曾经暴出注射漏洞),一看有搞头了。 

       搬出利器工具下载)

    把网址和注射文件名都填上,如图

      点击密码等几十秒管理用户和密码就会弹出来,不过密码MD5,要到MD5在线破

     

    解网站破解,如图:

    管理账号就是admin,密码是那串MD5

     

    复制Pass框里的32Md5密码,点击Crack,进入网站破解

    哈出来了,密码是Admin@810810

     

    有了账号密码,进后台拿shell

     

    点击用户名旁边的Login 进入登录页面,输入刚用户名和刚破解的密码

    登录成功后,进入后台选择图片管理---添加图片如图:

     

    点击上传图片,选择asp大马(把后缀名改成jpg),成功后点击略缩图

     

    在略缩图一栏里会出现大马的路径,复制ok

     

    UPLOAD/2012041410541773499.jpg

     

    接着选择数据库---备份”填写好数据。如图:

     

    点击备份数据。大马地址就是  网站地址+szwyadmin\Databackup\Noelle.asp

     

    打开http://www.******.net/szwyadmin/Databackup/Noelle.asp

     

    出现了期待已久的WebShell 登录界面

    挂上黑页,拍屁股走人

     

     

     利用工具下载地址:点击下载

    本博客所有文章如无特别注明均为原创。
    复制或转载请以超链接形式注明转自n0elle's Blog,原文地址《友情检测某中学网站
    标签:
    喜欢 | 0
    分享:

已经有2 条评论抢在你前面了~

  1. 沙发
    Noelle 2012-05-14

    谢谢大牛指点

  2. 板凳
    至尊小宇 2012-05-14

    这个系统 存在直接的cookies欺骗漏洞,不用爆破密码~~