文章总结： 本文记录了一次渗透测试，通过扫描发现源码泄露，审计发现后台SQL注入但受阻于WAF。随后利用源码定位data目录下伪装成asp后缀的mdb数据库文件，解析获取管理员密码并登录后台。最后尝试利用编辑器及附件上传漏洞获取shell，最终因服务器拦截失败。 综合评分： 80 文章分类： 渗透测试,代码审计,WEB安全,漏洞分析

信息泄露到审计注入拿下后台，差一点shell

原创

private null private null

轩公子谈技术

2026年1月25日 18:54 江苏

这个站很是经典，漏洞也是很经典。

素材很简单，运气很好，让我碰到了。

依旧是经典的门户网站

刚好是扫描到了 zip

不用猜的话，就是备份源码文件了

目前已知的信息是，后台登录页面

admin/login.asp

和源码文件

那么就开始审计吧

没曾想，我就随机打开一个文件，就敏锐的发觉，这好像是参数拼接的注入吧

if request(“act”)=”edit” and request.QueryString(“id”)<>”” then id=request(“id”) sql=”select * from admin where id=”& SH_Clng(request.QueryString(“id”)) rs.open sql,conn,3,2 if not rs.eof then rs(“aleave”)=aleave rs(“admin”)=admin If Trim(Rs(“Password”))<>Trim(Password) Then            rs(“password”)=md5(password,32) End If rs.update end if rs.close elseif request(“act”)=”add” then sql=”select * from admin where admin='”&admin&”‘” rs.open sql,conn,3,2 if (rs.eof and rs.bof) then rs.addnew rs(“aleave”)=aleave rs(“admin”)=admin rs(“password”)=md5(password,32) rs.update end if rs.close end if set rs=nothing conn.close set conn=nothing response.redirect “admin_admin.asp”

但是肯定是后台，要找前台的，方可。

于是就转头，找目录外的 asp 文件，比如product.asp，about.asp，list.asp 等等

然后就进行测试，然，并无效

于是浏览器查看一下

发现被拦截了

然后又翻了翻文件，发现整个前台的文件都有字符拼接

于是全局搜索一下，到底拦截的代码在哪里

代码中没有拦截，那么就是有 waf

手动尝试了。单引号，空格，or，被拦截了，但是 and 竟然可以

手注还是费劲，然后找 ai 搞了脚本，然后就成功了

发现竟然是 access，我都没见过这，–tables 失败了

正在我不知所措的时候，我下载的是源码，源码！那还非鸡毛劲搞注入啊，直接搜索 sql 文件。

大脑思考片刻后，我恍然大悟，access 数据库后缀应该是.mdb

没招了。嘻嘻，逗你们呢。

一开始我就翻找文件里，在 data 目录里

当时看到后缀 asp，就直接翻走了，实际上他就是数据库文件

找了在线解析的网站，就直接看到了账号密码

前台用了kindeditor 编辑器，没想到后台也都是统一用的这个

找 ai 审计了一下，后台的 rce 和上传

结果发现，都是编辑器的上传接口，他说没有限制，可以上传 asp 脚本文件

kiro 移除了 ops 4.5 模型后，一言难尽

不过我发现 asf 后缀支持，于是尝试，500 了

另一个接口也是 500，非编辑器页面，附件上传，没有任何限制，asp 也是失败

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：轩公子谈技术 private null private null《信息泄露到审计注入拿下后台，差一点shell》