來源：http://bbs.ichunqiu.com/thread-9533-1-1.html?from=ch

社區(qū)：i春秋

時(shí)間：2016年8月7號(hào)晚

作者：Binghe

#前奏傳送門

傳送門1：滲透紀(jì)實(shí)之母校官網(wǎng)-part 1

傳送門2：連載 - part 2 - 滲透紀(jì)實(shí)之母校官網(wǎng)

#前言

對(duì)于傳送門2今膊，我表示很無語州既，相當(dāng)不順利，我兜了一圈 還是沒能取得與主站能聯(lián)通的主機(jī)

后來靜了靜皿曲，喝了一杯82年的專屬樂事荧琼，咱還得繼續(xù)雁社！

#開始測(cè)試

由于目標(biāo)處于內(nèi)網(wǎng)C段就不看了更別說什么msf啥的現(xiàn)在的目的就是搞他同一個(gè)公網(wǎng)ip下的web站延續(xù)內(nèi)網(wǎng)滲透

在目標(biāo)站的主頁站內(nèi)系統(tǒng)泄露了內(nèi)網(wǎng)ip為192.168.0.100即纲，我們的目標(biāo)就是與之連通的內(nèi)網(wǎng)機(jī)器

此次旁注目標(biāo)也是個(gè)學(xué)校

主頁文章區(qū)域等等各種測(cè)試沒有結(jié)果后來找到一個(gè)二級(jí)目錄

既然沒有驗(yàn)證碼篱瞎，burpsuite爆破得密碼進(jìn)去

有文件上傳功能添加素材部分過濾asp過濾為as很好解決二次突破文件后綴名改為.asaspp上傳就ok

但是無論是抓包還是看屬性都不能找不到他的相對(duì)路徑下圖圈起來的地方是我傳的一個(gè)一句話圖片木馬

通過那里可以看見我們的一句話木馬被解析了但是沒有路徑怎么菜刀連接上去？

我納悶了半天后來又喝了一杯82年樂事想到既然上面的一句話都解析了那咱們直接上傳個(gè)asp大馬如何达罗？原理上應(yīng)該在那個(gè)地方出現(xiàn)大馬，上傳個(gè)土司大馬果不其然內(nèi)置的大馬

這里其實(shí)已經(jīng)拿到shell感覺好奇妙

后來down了下這套系統(tǒng)研究了下也可以這樣拿shell

選擇一個(gè)已經(jīng)存在的可以訪問的教案修改之添加素材木馬回到主頁查看教案詳細(xì)內(nèi)容可看到教案素材

點(diǎn)擊最后的素材就跳轉(zhuǎn)到木馬地址

MS10080沒有補(bǔ)丁

進(jìn)去后感覺這一個(gè)段子的服務(wù)器都是一個(gè)機(jī)房的系統(tǒng)殺軟服務(wù)静秆。粮揉。都一樣

看上圖我就差不多明白這對(duì)我其實(shí)并沒有什么卵用與目標(biāo)不在同網(wǎng)關(guān)且ping不通

內(nèi)網(wǎng)隨便看一下

有個(gè)學(xué)校的監(jiān)控?cái)z像頭哎呀可惜了現(xiàn)在是假期看不到妹子！

繼續(xù)下一個(gè)目標(biāo)也是個(gè)兄弟學(xué)校程序是

這個(gè)版本的thinkphp算是比較新2.1之前是有命令執(zhí)行漏洞的

再次是一個(gè)二級(jí)目錄稍微正規(guī)點(diǎn)的學(xué)校網(wǎng)站都存在二級(jí)目錄的辦公系統(tǒng)

把所有二級(jí)目錄的登錄界面用burp跑了個(gè)遍運(yùn)氣還行進(jìn)去一個(gè)

上傳文件是沒問題的但是遇到了和上次一樣的問題無論是抓包還是看屬性都找不著路徑點(diǎn)擊上傳的文件哪怕是個(gè)圖片都會(huì)下載

這就令人費(fèi)解后來我就猜目錄各種猜還是不行

后來摸索了進(jìn)5個(gè)小時(shí)差點(diǎn)把站“D”死了終于特么的找到方法了：

直接上傳個(gè)附件大馬aspx不過濾文件管理重命名為binghe然后右上角搜索binghe

搜到了

這時(shí)候點(diǎn)他還是不行

這時(shí)候點(diǎn)上面工具欄的“列表”切換個(gè)視圖

然后

點(diǎn)擊他我

們可愛的大馬就彈彈彈出來了

exp上去system

net被禁用繼承system來api添加不行的system權(quán)限拿不下服務(wù)器的案例非常多

360一套上個(gè)kill360的exp來kill之

重啟再添加并無卵用

后來翻目錄找到這個(gè)

[AppleScript]純文本查看復(fù)制代碼

?

連接上去這樣

[AppleScript]純文本查看復(fù)制代碼

?

exec master..xp_cmdshell 'whoami'

SQL Server阻止了對(duì)組件‘xp_cmdshell’的過程’sys.xp_cmdshell’的訪問抚笔，請(qǐng)參閱SQL Server聯(lián)機(jī)叢書中的“外圍應(yīng)用配置器”扶认。

啟用配置選項(xiàng)‘show advanced options’從0更改為1

[AppleScript]純文本查看復(fù)制代碼

?

01

02

03

04

05

06

07

08

09

10

11sp_configure 'showadvanced options',1

reconfigure

go

sp_configure 'xp_cmdshell',1

reconfigure

go

再執(zhí)行這個(gè)system權(quán)限應(yīng)該更完善說是不一樣的system

的確是這樣

事實(shí)是這樣 仍然與目標(biāo)不通

再次的然并卵不同網(wǎng)關(guān)ping都ping不通的玩意

也存在監(jiān)控這是哪個(gè)學(xué)校怎么看著有點(diǎn)像我的學(xué)校啊殊橙！一個(gè)人沒有

我都懶得看了我們只能再次放棄繼續(xù)下一個(gè)目標(biāo)

這個(gè)很厲害辐宾，叫什么**清華中學(xué)，清華啊

拿到shell提了服務(wù)器上去之后忘了注銷第二天卡了登錄不上去shell也連接不上500錯(cuò)誤

無法復(fù)現(xiàn)過程還剩下幾張與基友討論時(shí)的截圖大略說一下思路

這次是直接一個(gè)內(nèi)部的圖書管理平臺(tái)沒有邏輯漏洞爆破用戶名和密碼顯然不合理

有注冊(cè)點(diǎn)注冊(cè)完畢后需要管理審核膨蛮。叠纹。

看到了找回密碼于是用找回密碼功能然而找回密碼需要提供圖書員工號(hào)。敞葛。我們并不知道號(hào)碼啊誉察。。

于是用burp的intruder枚舉1-4位的純數(shù)字開始payload

可以得到001??01 1 ….

用號(hào)碼1找回密碼需要回答驗(yàn)證問題問題是admin我擦這是問題嗎惹谐？想必你是怕忘了直接把問題設(shè)成答案填入admin成功找回密碼

登錄之上傳一個(gè)圖書但是抓不到路徑

來到主頁最新圖書板塊找到剛剛上傳的圖書點(diǎn)擊“閱讀”成功取得shell

看到這里我的心就涼了半截ping不通我們的目標(biāo)還是上服務(wù)器看看吧

哎這樣的話讓我怎么玩這個(gè)網(wǎng)關(guān)到底是怎么分配的192.168.1.1到底在哪里持偏？

看來都是一套系統(tǒng)都帶監(jiān)控的。氨肌。鸿秆。

又在網(wǎng)關(guān)的段子掃了一圈發(fā)現(xiàn)了好多學(xué)校的監(jiān)控啊，沒錯(cuò)也找了我學(xué)校的監(jiān)控怎囚。但是web服務(wù)不在上面卿叽，很可惜。

玩到這里我已經(jīng)開學(xué)了還玩?zhèn)€毛！

學(xué)生狗去過狗的生活了基友們?cè)贁ⅲ?/b>

同外網(wǎng)ip的站已經(jīng)拿的差不多但基本對(duì)我們的目標(biāo)無用附帽。

在學(xué)校里埠戳，我還是不甘心啊，于是乎想到了社工蕉扮。

我由學(xué)校網(wǎng)站上的編輯落款可以推測(cè)出整胃，網(wǎng)站管理員就是我的計(jì)算機(jī)老師，那么等機(jī)會(huì)喳钟。

天公作美屁使，某天計(jì)算機(jī)課奔则，老師說并沒什么要講的，幾個(gè)女同學(xué)嚷嚷著讓老師開網(wǎng)絡(luò)給我們玩一會(huì)酬蹋，老師拗不過幾個(gè)萌妹子，于是開了網(wǎng)絡(luò)抽莱，大家都上網(wǎng)玩了，于是乎匕垫，我想到一個(gè)猥瑣的思路。我先把電腦關(guān)機(jī)虐呻，悄悄的蹲到桌子下象泵，輕輕地把電源拉松斟叼，于是電腦再也開不了機(jī)，我舉手讓老師過來洲鸠，：‘老師扒腕，我的電腦查著資料就自動(dòng)關(guān)機(jī)了萤悴，開不開機(jī)了覆履，咋辦费薄？‘楞抡，老師看看了析藕，也沒弄清原因账胧，我就說，老師要不你先看看治泥，我去用你的電腦查下資料可以嗎居夹，我是笑著說的，老師沒有拒絕变屁，于是呼，我打開老師電腦的第一步疮胖，先進(jìn)入IE--工具--internet選項(xiàng)--瀏覽歷史記錄--設(shè)置--查看文件打包了里面所有cookie文件澎灸，并傳到網(wǎng)盤備用性昭。

為了以防萬一，我用老師的電腦瀏覽器打開學(xué)校后臺(tái)汹族，沒錯(cuò)顶瞒，自動(dòng)保存了密碼元旬，只是加了星號(hào)，我們看不見而已

這個(gè)好辦審查元素耗帕，把密碼輸入框的type屬性由password改為text仿便，我便看到了明文密碼字柠，

沒花1秒我就記住了密碼窑业，沒幾分鐘就要下課常柄，我也沒登錄，假裝查了下資料卷玉，下課就回去了

等我回到家相种，第一時(shí)間登陸了網(wǎng)站后臺(tái)寝并，發(fā)現(xiàn)編輯器不可用腹备，不能上傳植酥，后來用虛擬機(jī)的03系統(tǒng)的IE6的瀏覽器友驮，果然好使，可以上傳拨与，但是依然無法通過截?cái)喃@得shell买喧，文件命名很死淤毛。

前面我們有爆出config.asp,于是乎在網(wǎng)站信息插了個(gè)一句話，姓言，

最后何荚，激動(dòng)人心的時(shí)候到了猪杭，時(shí)隔半年皂吮，我們終于拿下蜂筹。

補(bǔ)圖

如此完結(jié)艺挪。

結(jié)語：功夫不負(fù)有心人，滲透的精髓在于不斷嘗試慌盯！

本