完結(jié)篇 - 滲透紀(jì)實(shí)之母校官網(wǎng)

來源:http://bbs.ichunqiu.com/thread-9533-1-1.html?from=ch

社區(qū):i春秋

時(shí)間:2016年8月7號(hào)晚

作者:Binghe

#前奏傳送門

傳送門1滲透紀(jì)實(shí)之母校官網(wǎng)-part 1

傳送門2連載 - part 2 - 滲透紀(jì)實(shí)之母校官網(wǎng)

#前言

對(duì)于傳送門2今膊,我表示很無語州既,相當(dāng)不順利,我兜了一圈 還是沒能取得與主站能聯(lián)通的主機(jī)

后來靜了靜皿曲,喝了一杯82年的專屬樂事荧琼,咱還得繼續(xù)雁社!

#開始測(cè)試

由于目標(biāo)處于內(nèi)網(wǎng)C段就不看了更別說什么msf啥的現(xiàn)在的目的就是搞他同一個(gè)公網(wǎng)ip下的web延續(xù)內(nèi)網(wǎng)滲透

在目標(biāo)站的主頁站內(nèi)系統(tǒng)泄露了內(nèi)網(wǎng)ip192.168.0.100即纲,我們的目標(biāo)就是與之連通的內(nèi)網(wǎng)機(jī)器

此次旁注目標(biāo)也是個(gè)學(xué)校

主頁文章區(qū)域等等各種測(cè)試沒有結(jié)果后來找到一個(gè)二級(jí)目錄

既然沒有驗(yàn)證碼篱瞎,burpsuite爆破得密碼進(jìn)去

有文件上傳功能添加素材部分過濾asp過濾為as很好解決二次突破文件后綴名改為.asaspp上傳就ok

但是無論是抓包還是看屬性都不能找不到他的相對(duì)路徑下圖圈起來的地方是我傳的一個(gè)一句話圖片木馬

通過那里可以看見我們的一句話木馬被解析了但是沒有路徑怎么菜刀連接上去?

我納悶了半天后來又喝了一杯82年樂事想到既然上面的一句話都解析了那咱們直接上傳個(gè)asp大馬如何达罗?原理上應(yīng)該在那個(gè)地方出現(xiàn)大馬,上傳個(gè)土司大馬果不其然內(nèi)置的大馬

這里其實(shí)已經(jīng)拿到shell感覺好奇妙

后來down了下這套系統(tǒng)研究了下也可以這樣拿shell

選擇一個(gè)已經(jīng)存在的可以訪問的教案修改之添加素材木馬回到主頁查看教案詳細(xì)內(nèi)容可看到教案素材

點(diǎn)擊最后的素材就跳轉(zhuǎn)到木馬地址

MS10080沒有補(bǔ)丁

進(jìn)去后感覺這一個(gè)段子的服務(wù)器都是一個(gè)機(jī)房的系統(tǒng)殺軟服務(wù)静秆。粮揉。都一樣

看上圖我就差不多明白這對(duì)我其實(shí)并沒有什么卵用與目標(biāo)不在同網(wǎng)關(guān)且ping不通

內(nèi)網(wǎng)隨便看一下

有個(gè)學(xué)校的監(jiān)控?cái)z像頭哎呀可惜了現(xiàn)在是假期看不到妹子!

繼續(xù)下一個(gè)目標(biāo)也是個(gè)兄弟學(xué)校程序是

這個(gè)版本的thinkphp算是比較新2.1之前是有命令執(zhí)行漏洞的

再次是一個(gè)二級(jí)目錄稍微正規(guī)點(diǎn)的學(xué)校網(wǎng)站都存在二級(jí)目錄的辦公系統(tǒng)

把所有二級(jí)目錄的登錄界面用burp跑了個(gè)遍運(yùn)氣還行進(jìn)去一個(gè)

上傳文件是沒問題的但是遇到了和上次一樣的問題無論是抓包還是看屬性找不著路徑點(diǎn)擊上傳的文件哪怕是個(gè)圖片都會(huì)下載

這就令人費(fèi)解后來我就猜目錄各種猜還是不行

后來摸索了進(jìn)5個(gè)小時(shí)差點(diǎn)把站“D”死了終于特么的找到方法了

直接上傳個(gè)附件大馬aspx不過濾文件管理重命名為binghe然后右上角搜索binghe

搜到了

這時(shí)候點(diǎn)他還是不行

這時(shí)候點(diǎn)上面工具欄的列表切換個(gè)視圖

然后

點(diǎn)擊他

們可愛的大馬就彈彈彈出來了

exp上去system

net被禁用繼承systemapi添加不行的system權(quán)限拿不下服務(wù)器的案例非常多

360一套上個(gè)kill360expkill

重啟再添加并無卵用

后來翻目錄找到這個(gè)

[AppleScript]純文本查看復(fù)制代碼

?

連接上去這樣

[AppleScript]純文本查看復(fù)制代碼

?

exec master..xp_cmdshell 'whoami'

SQL Server阻止了對(duì)組件‘xp_cmdshell’的過程’sys.xp_cmdshell’的訪問抚笔,請(qǐng)參閱SQL Server聯(lián)機(jī)叢書中的“外圍應(yīng)用配置器”扶认。

啟用配置選項(xiàng)‘show advanced options’0更改為1

[AppleScript]純文本查看復(fù)制代碼

?

01

02

03

04

05

06

07

08

09

10

11sp_configure 'showadvanced options',1

reconfigure

go

sp_configure 'xp_cmdshell',1

reconfigure

go

再執(zhí)行這個(gè)system權(quán)限應(yīng)該更完善說是不一樣的system

的確是這樣

事實(shí)是這樣 仍然與目標(biāo)不通

再次的然并卵不同網(wǎng)關(guān)pingping不通的玩意

也存在監(jiān)控這是哪個(gè)學(xué)校怎么看著有點(diǎn)像我的學(xué)校啊殊橙!一個(gè)人沒有

我都懶得看了我們只能再次放棄繼續(xù)下一個(gè)目標(biāo)

這個(gè)很厲害辐宾,叫什么**清華中學(xué),清華啊

拿到shell提了服務(wù)器上去之后忘了注銷第二天卡了登錄不上去shell也連接不上500錯(cuò)誤

無法復(fù)現(xiàn)過程還剩下幾張與基友討論時(shí)的截圖大略說一下思路

這次是直接一個(gè)內(nèi)部的圖書管理平臺(tái)沒有邏輯漏洞爆破用戶名和密碼顯然不合理

有注冊(cè)點(diǎn)注冊(cè)完畢后需要管理審核膨蛮。叠纹。

看到了找回密碼于是用找回密碼功能然而找回密碼需要提供圖書員工號(hào)。敞葛。我們并不知道號(hào)碼啊誉察。。

于是用burpintruder枚舉1-4位的純數(shù)字開始payload

可以得到001??01 1 ….

用號(hào)碼1找回密碼需要回答驗(yàn)證問題問題是admin我擦這是問題嗎惹谐?想必你是怕忘了直接把問題設(shè)成答案填入admin成功找回密碼

登錄之上傳一個(gè)圖書但是抓不到路徑

來到主頁最新圖書板塊找到剛剛上傳的圖書點(diǎn)擊閱讀成功取得shell

看到這里我的心就涼了半截ping不通我們的目標(biāo)還是上服務(wù)器看看吧

這樣的話讓我怎么玩這個(gè)網(wǎng)關(guān)到底是怎么分配的192.168.1.1到底在哪里持偏?

看來都是一套系統(tǒng)都帶監(jiān)控的。氨肌。鸿秆。

又在網(wǎng)關(guān)的段子掃了一圈發(fā)現(xiàn)了好多學(xué)校的監(jiān)控啊,沒錯(cuò)也找了我學(xué)校的監(jiān)控怎囚。但是web服務(wù)不在上面卿叽,很可惜。

玩到這里我已經(jīng)開學(xué)了還玩?zhèn)€毛!

學(xué)生狗去過狗的生活了基友們?cè)贁ⅲ?/b>

同外網(wǎng)ip的站已經(jīng)拿的差不多但基本對(duì)我們的目標(biāo)無用附帽。

在學(xué)校里埠戳,我還是不甘心啊,于是乎想到了社工蕉扮。

我由學(xué)校網(wǎng)站上的編輯落款可以推測(cè)出整胃,網(wǎng)站管理員就是我的計(jì)算機(jī)老師,那么等機(jī)會(huì)喳钟。

天公作美屁使,某天計(jì)算機(jī)課奔则,老師說并沒什么要講的,幾個(gè)女同學(xué)嚷嚷著讓老師開網(wǎng)絡(luò)給我們玩一會(huì)酬蹋,老師拗不過幾個(gè)萌妹子,于是開了網(wǎng)絡(luò)抽莱,大家都上網(wǎng)玩了,于是乎匕垫,我想到一個(gè)猥瑣的思路。我先把電腦關(guān)機(jī)虐呻,悄悄的蹲到桌子下象泵,輕輕地把電源拉松斟叼,于是電腦再也開不了機(jī),我舉手讓老師過來洲鸠,:‘老師扒腕,我的電腦查著資料就自動(dòng)關(guān)機(jī)了萤悴,開不開機(jī)了覆履,咋辦费薄?‘楞抡,老師看看了析藕,也沒弄清原因账胧,我就說,老師要不你先看看治泥,我去用你的電腦查下資料可以嗎居夹,我是笑著說的,老師沒有拒絕变屁,于是呼,我打開老師電腦的第一步疮胖,先進(jìn)入IE--工具--internet選項(xiàng)--瀏覽歷史記錄--設(shè)置--查看文件打包了里面所有cookie文件澎灸,并傳到網(wǎng)盤備用性昭。

為了以防萬一,我用老師的電腦瀏覽器打開學(xué)校后臺(tái)汹族,沒錯(cuò)顶瞒,自動(dòng)保存了密碼元旬,只是加了星號(hào),我們看不見而已

這個(gè)好辦審查元素耗帕,把密碼輸入框的type屬性由password改為text仿便,我便看到了明文密碼字柠,

沒花1秒我就記住了密碼窑业,沒幾分鐘就要下課常柄,我也沒登錄,假裝查了下資料卷玉,下課就回去了

等我回到家相种,第一時(shí)間登陸了網(wǎng)站后臺(tái)寝并,發(fā)現(xiàn)編輯器不可用腹备,不能上傳植酥,后來用虛擬機(jī)的03系統(tǒng)的IE6的瀏覽器友驮,果然好使,可以上傳拨与,但是依然無法通過截?cái)喃@得shell买喧,文件命名很死淤毛。

前面我們有爆出config.asp,于是乎在網(wǎng)站信息插了個(gè)一句話,姓言,

最后何荚,激動(dòng)人心的時(shí)候到了猪杭,時(shí)隔半年皂吮,我們終于拿下蜂筹。

補(bǔ)圖

如此完結(jié)艺挪。

結(jié)語:功夫不負(fù)有心人,滲透的精髓在于不斷嘗試慌盯!

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末俱箱,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子乃摹,更是在濱河造成了極大的恐慌孵睬,老刑警劉巖掰读,帶你破解...
    沈念sama閱讀 222,946評(píng)論 6 518
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件蹈集,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡减响,警方通過查閱死者的電腦和手機(jī)支示,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,336評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門颂鸿,熙熙樓的掌柜王于貴愁眉苦臉地迎上來据途,“玉大人颖医,你說我怎么就攤上這事裆蒸×诺唬” “怎么了辙谜?”我有些...
    開封第一講書人閱讀 169,716評(píng)論 0 364
  • 文/不壞的土叔 我叫張陵装哆,是天一觀的道長(zhǎng)蜕琴。 經(jīng)常有香客問我凌简,道長(zhǎng),這世上最難降的妖魔是什么藕施? 我笑而不...
    開封第一講書人閱讀 60,222評(píng)論 1 300
  • 正文 為了忘掉前任铅碍,我火速辦了婚禮胞谈,結(jié)果婚禮上烦绳,老公的妹妹穿的比我還像新娘径密。我一直安慰自己,他們只是感情好底桂,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,223評(píng)論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著暮顺,像睡著了一般秀存。 火紅的嫁衣襯著肌膚如雪或链。 梳的紋絲不亂的頭發(fā)上澳盐,一...
    開封第一講書人閱讀 52,807評(píng)論 1 314
  • 那天洞就,我揣著相機(jī)與錄音旬蟋,去河邊找鬼倾贰。 笑死,一個(gè)胖子當(dāng)著我的面吹牛安寺,可吹牛的內(nèi)容都是我干的挑庶。 我是一名探鬼主播迎捺,決...
    沈念sama閱讀 41,235評(píng)論 3 424
  • 文/蒼蘭香墨 我猛地睜開眼凳枝,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼岖瑰!你這毒婦竟也來了蹋订?” 一聲冷哼從身側(cè)響起辅辩,我...
    開封第一講書人閱讀 40,189評(píng)論 0 277
  • 序言:老撾萬榮一對(duì)情侶失蹤玫锋,失蹤者是張志新(化名)和其女友劉穎撩鹿,沒想到半個(gè)月后悦屏,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,712評(píng)論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,775評(píng)論 3 343
  • 正文 我和宋清朗相戀三年叫搁,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了渴逻。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片惨奕。...
    茶點(diǎn)故事閱讀 40,926評(píng)論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡梨撞,死狀恐怖聋袋,靈堂內(nèi)的尸體忽然破棺而出幽勒,到底是詐尸還是另有隱情啥容,我是刑警寧澤咪惠,帶...
    沈念sama閱讀 36,580評(píng)論 5 351
  • 正文 年R本政府宣布遥昧,位于F島的核電站炭臭,受9級(jí)特大地震影響鞋仍,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜落午,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,259評(píng)論 3 336
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望梗劫。 院中可真熱鬧,春花似錦、人聲如沸猫妙。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,750評(píng)論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽敢朱。三九已至拴签,卻和暖如春蚓哩,著一層夾襖步出監(jiān)牢的瞬間岸梨,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,867評(píng)論 1 274
  • 我被黑心中介騙來泰國(guó)打工稠氮, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留曹阔,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,368評(píng)論 3 379
  • 正文 我出身青樓括袒,卻偏偏與公主長(zhǎng)得像次兆,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子锹锰,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,930評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容