我来畅游福建房地产！

前言

　　中国的房子日益增长，房产商也赚得不亦乐乎。特别是大过年，买房子的也多了，高兴的是房产商在背后数钱数到手抽筋，特别是厦门这个美丽鹭岛。哎，现在想买房子都难呀，只能看房子的份了，看看可恶的房地产商，生在福建当然岛福建要了解福建楼市咯，百度搜搜输入“福建楼市”，跳出了第一个就直接进去了，如图

net/attachment.php?fid=856" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　来到这个房地产站转转。看看域名还很气派，意思：我就要房子。心里起毛了想看看，这站安全不，搞不好找个漏洞叫老总送我套房子住住，下半辈子就不用愁了。(本人纯粹是做白日梦)。冲着这个梦想，说干就干。

　　初试牛刀

　　找下首页，那些新闻都是静态页，没什么可以利用的

net/attachment.php?fid=857" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　也没有什么IIS设置漏洞，又逛荡了一下到论坛，论坛好像是动网asp版本

net/attachment.php?fid=858" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　至于什么版本没有去看，在最下面而且修改了版权

net/attachment.php?fid=859" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　没有关于一些介绍，找了各个版本的默认数据库都不对，管理员应该也没笨到这种程度，又用默认的账号密码登陆，管理员一一改了，这也很正常。毕竟这么大型的网站，入侵不能向喝水一样。查了在线人数也不是很多，才一两百个。试遍了动网所有版本的所有漏洞还是没有起色就放弃了这个论坛回到了主页。主页又个搜索页，看看能不能XSS 下，输入了跨站的代码，还真跨!如图

net/attachment.php?fid=860" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

net/attachment.php?fid=861" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　又输入挂马的代码，还真能语句还真能执行，看来是没有进行过滤造成的，看来还是能利用的，但是今天这不是主题，就不利用了。在主页又找到一个可以利用的，一个动态页，且还能注入，就拿起了明小子的工具

net/attachment.php?fid=862" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>注就注吧，让强大的工具猜出帐号密码，还真的猜出了账号密码。用了明小子,啊D，教主的和小竹的都扫不到也找不到就不想再利用了，放着把，实在不行再利用吧，保存好帐号密码，MD5该破了也破了留在硬盘里也不费多少空间。

　　

net/attachment.php?fid=863" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　后来网上找找，又找个了留言板，如图

　　

net/attachment.php?fid=864" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　

net/attachment.php?fid=865" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　输入了XSS跨站语句，

　　

<srcipt>alert(“跨”)</srcipt>,

　　结果没有动静，只是把输入的文本保存在下面的留言。后来想下搞XSS也没什么用。还是找写有用的东西吧，反正放着这么多的东西还怕搞不下来不成。找了个页就跳进去。不知不觉跳到了这个页，就随便选一个进去，结果还是一块一块的静态页，还是那句话没有用，但是后来证实静态页并不是没有用，不小心点进了静态页，看到了图片，想到照片，要上传，那就有上传页。还是来看看图片的属性吧。上面有个图片连接地址，有个 cmseditor，引起了我的注意，editor不是在线编辑吗?那如果有在线编辑就可以搞下webshell了。就找了地址，果然是在线编辑器

　　

net/attachment.php?fid=866" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　

net/attachment.php?fid=867" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　用admin的默认密码进去还真进了，看来这站不怎么安全啊，在样式管理——新增样式，添加个asa的文件类型，然后设置个工具栏，在打开开上传页，把我们的脚本木马上传到服务器，就这样拿到了webshell。

　　

net/attachment.php?fid=868" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　

net/attachment.php?fid=869" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　

net/attachment.php?fid=870" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

　　服务器提权

　　搞了webshell不提权好像对不起自己，貌似这样也枉费了我拿webshell，呵呵，我们要有黑客精神，不怕困难勇往直前，貌似又说多了。原来服务器是内网的，最近怎么就这么衰，都是内网的，限制很多，不过我们不能就此放弃。在程序目录下看看，发现装了360安全卫士，诺顿杀毒软件，其他的就没什么了。

　　

net/attachment.php?fid=871" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.op