扫了下这个站的目录，毛线都没扫出来。。爬了下也没发现什么可利用的东西。网站全是shtml的，注册个账号看下有没有可上传的页面也没什么发现，好嘛，看下旁站，幸好没做CDN。

看了下旁站，发现几乎全是一个程序。

我把重点放在了其中的2个站上面，因为程序总算不一样了，而我的突破口也是从这里开始的。

这个站，我扫了下，也是啥都没扫出来，不过爬站却爬出了些目录来。并且根据目录确定了其是使用的siteserver cms。

看到CMS我便看到了希望，虽然这是我第一次接触这个CMS，于是乎，果断去乌云搜了下这个CMS的漏洞。

发现有许多许多的漏洞，其中，找到了一个system权限的注射，

可以执行命令，起初我想的是直接执行命令加管理上服务器的，结果发现坑爹的内网，好嘛，找根目录写马儿。

但是我不会告诉你们，C、D、E、F、G、H,我一个个列，但是就是没有找到根目录。心都碎了一地。。

sa的hash也出来了，想直接连接sa的，结果丫的密码解不出来。。

好嘛，咱直接读管理的密码，登陆后台拿shell。

额！！！说好的MD5呢？这是啥加密？看着像base64，但是又不是。。瞬间无语了，然后在去查了下，发现这个CMS确实是这样加密的，听说可逆，但是俺不会呀，cmd5查也是未查到。。心碎了。sa密码解不出我也不说啥了，结果。。。

好嘛，当时我是继续执行命令找更目录，始终无果，然后我想到，可以下载远控马上去执行上线啊，于是，折腾半天，下载是下载成功了，执行就是不上线，仔细看才发现了问题。。

只允许下载8K字节的文件，而我的马儿，不止这么大。。

我列目录发现下载的马儿只有1200字节，这都没下载完肯定不上线啊。。。

然后我又想到下载lcx上去转发3389出来，结果发现lcx也不止8K字节。。。心碎了。。

我不会告诉你们就找目录，尝试各种写shell我就折腾了几个小时。。。找基友们帮我解密也都无果。。

好嘛，功夫不负有心人，在我继续翻阅乌云提交的漏洞的时候，意外发现了一个，找回密码的漏洞。

我照着作者这样做，前面都没问题，用户名也得到了，可是到最后一步的时候，出问题了，不是302，是500，不管我怎么尝试都是失败。始终无法修改管理员的密码。

用户名得到了，当时还是没什么用，然后继续翻漏洞，找到了另一个漏洞，然后，2个漏洞结合在一起使用，直接秒下shell。

siteserver cms管理员密码找回逻辑存在漏洞，可直接绕过获取管理员密码，禁用javascript即可绕过

这个漏洞的前提便是需要知道管理的账户，而通过上面的漏洞，我们已经得到了管理员的账户，那么，在利用这个漏洞，嘎嘎，有时候，不得不感叹，有些时候，两个小小的漏洞，组合在一起的话，他的威力真是给力啊。

关闭浏览器javascript，然后访问这个地址：/siteserver/forgetPassword.aspx

输入账号后出现这个页面，我们直接点下一步就行，记得先关闭浏览器javascript，如果没关闭的话是没法绕过的。

看到这里当时我真心激动的很，折腾尼玛半天了终于有进展了。。

模板这里可以直接建一个aspx的文件。我都不知道这个CMS官方是怎么想的。。。好神奇。。。直接秒。。

我的目标直接就在那躺着的，并且可读可写，当时就幸福死了，没想到幸福来的如此突然。。

一个cms，导致了10多个白银站沦陷，cms真是害死人啊，

其实在渗透过程中，难免会遇到各种问题，而如果你坚持下去，努力去找突破口，说不定administrator在下一刻便是你的了。我经常遇到拿到root，拿到sa，却拿不下shell的情况，拿到服务器的账户密码，却登不上服务器啥的，这些问题很多很多，蛋疼的要死，相信你或许也遇到过。只能说，渗透，并不是那么简单。而且，我始终无法理解，用穿山甲列目录。列出来的目录和我拿下的这个的目录完全不一样，盘符倒是一样，都不知道是个啥情况，无语额。

补充：

刚才发布文章，然后某牛秒评，提醒了下我。

我查了下IP。

好嘛，确实是站酷分离，难怪，在这里谢谢这位亲的提醒，只能说，以后真的得注意细节了，细节格外重要。我当时压根没想过这些问题。。

LOFTER：r00tshell™-Team http://r00tshell.lofter.com/post/3d2f21_42c7971