by:以前的1 from:http://www.wrsky.com/
唉晚上没人陪独自一个,
记一次无聊的渗透
。搞了一天的站了累死了。去火狐逛逛,看到一遍关于————————————————————————————————————
发现一个NB网站
www.帮你改了.net/dvbbs
什么都关掉了,找不到方法进去获得webshell,谁有办法?
——————————————————————————————
1、文件传不上
2、旁注方式在取得同IP的站点webshell后无法获得机器上的读写权限,另外不知道是否放在同一台机上呢,通过webshell或ASP站长助手我发现同IP的另两站点机器不一样。
对我来说是难题了,不知哪位大峡有办法
——————————————————————
试一下默认的数据库能不能下载
——————————————————
不行
————————————————————————————
呵呵我全给摘下来了
反正无聊我也去逛逛,"炼金术投资咨询公司"不懂ING,仔细看一下大概是和经济有关的吧,这方面色盲,开工论坛Powered by:DVBBS Ver5.0 Final DVBBS喜欢呵呵,上传不行,不知道是禁用还是删了文件提交UPFILE。ASP没反映。不知道Powered by:DVBBS Ver5.0 Final还是什么洞,那个TONGJI。ASP好像是6。0,没办法拿过来试一下。不行,由于学这个不久所以5。0漏洞不太清楚,(去看代码啊),!·#¥%......我去跳楼好吧。郁闷!
数据库也全改了路径,想不去什么办法了。(有点菜呵呵)
回首页看一下注入习惯了搞个‘,晕"数据库出错"有防了,再爆一下数据库晕"数据库出错"晕不给偶看信息啊郁闷(这样的有什么好办法吗?偶不知道,怎么才能看到真正的信息呢?)提交AND 1=1
AND 1=2,呵呵有的搞,
电脑资料
《记一次无聊的渗透》(https://www.unjs.com)。返回不一样,把NBSI挖出来,一通乱猜记的用特征字符哦。哈哈ADMIN喜欢密码账号全出来了怎么看着那么不顺眼呢密码全是这样的jf&jhf8-<8fnc>f不管拿着去试一下,密码错误郁闷,加密了和偶们学校鸟网站一样的猜到密码也是加密的,和MD5差不多,不过MD5是不可逆的。再仔细看看几个账号,还有点规律性,有几个名字和密码是一样长的,会不会名字密码一样呢,呵呵。老天开眼了呵呵,进了后台,逛逛有添加新闻的,上传图片喜欢,郁闷搞了半天就是欺骗不成功。什么文件全给一个扩展名.gif,人生啊!放弃还是去旁注呢 ?还是猜测一下密码的规律吧,
有一组是这样的:
原文:z u o y a n
密文:{ w r } f t
有经验了一般是ASCI作鬼,
原文:122 117 111 121 97 110
密文:123 119 114 125 102 116
发现规律了吧,不用说了,把所有账号的密码猜测出来,(有什么用啊,进后台又上传不成功)
呵呵我进论坛的时候看到好像和这里有同一个用户,会不会密码一样呢?
渗透还是要有点运气吗?呵呵一样的哦,搞到一个前台管理员的,郁闷后台不对,用任一个个密码,用户名多不行,组合一下也不行,人生啊。唉,看看前台权限,好像有可以利用的,看到一个好东东偶可以上传附近,兴奋ING,抓包修改上传,(为什么不用工具,)我也不知道我就喜欢手工,主要是偶用工具从没成功过,呵呵有点菜呵呵,搞到个SHELL到里面转了一圈晕,WSCRIPT。SHELL删除了不玩了,运行程序不行,迷茫中,没去看了,权限有点变态, 不支持PHP,不知道有没有MYSQL,SERU是有的,不去提升了,累了。谢谢帮偶看完,没什么技术性,见笑了。
有些原因,不好作动画了。
完了。