看本小白如何拿下可爱的卡通玩具站并提权
网站界面 还是蛮漂亮的。浏览了站 好些处 都是伪静态的 但是 还是找到了一些 可疑的URL
http://xxxxxxxx.com/products_class.aspx?id=354
页面如下
然后 在URL 后加 and 1=2页面返回不正常如下图
于是乎判断这个是 注入点 鸡冻
在 URL +admin 或者 manage
来找后台 (先找后台 再注入 有时候 辛辛苦苦的 注入得到 账号密码 却找不到后台 那就悲剧了)
幸运的找到了 后台地址
现在 使用 注入工具:sqlmap pangolin来进行注入
果然是 注入 通过 sqlmap判断 我们可以得到以下的信息
注入类型:get 型注入点参数是 id=354这里
服务器操作系统:windows 2008 R2
微软 asp.net框架
数据库:mssql 2008
大概就是这么多信息
然后我开始YY了:
既然是08的服务器IIS 版本 估计是7.5可以加’ 爆出路径 然后sqlmap直接拿到这个 物理路径写shell (YY中)
哇哈哈 忍不住笑了出来
于是 赶紧来判断 注入点的权限
Sqlmap –u”注入点“ -- is-dba啪 的一下 敲下了回车键 好吧 我承认当时有点激动 大半夜的 =,= 还好键盘 耐操
然而理想和现实的差别是巨大的
false不是 dba权限这个就不能直接写 shell了
╮(╯▽╰)╭ 哎还是老老实实的 来 猜表名 列名吧
接下来 上 穿山甲 来注入 这个工具 就擅长这个果然 不一会 就找到目标了
穿山甲 再获取数据 这时候 出错了 (意料之中)
接下来 就直接放sqlmap里面 dump吧(已经知道了表名 列名)
-u"http://xxxxx.com/products_class.aspx?id=353" --dump -C"Username,UserPassword" -T"NT_sys_User" -D"yb"
好了 不一会就 跑出密码了
账号:admin密码:000000
直接 登陆进后台
网站的cms不是主流的cms估计是二次开发的
内置编辑器 是 fck编辑器
Fck编辑器配合 iis6.0 很容易 突破 下划线 getshell的 但是 本站 是IIS7.5 就没有拿下
那个 上传2个 同文件名方法 试过 也没有突破掉
其他的上传点 抓包 各种截断 也没有成功 这些失败的案例 我就不多说了(尴尬=,=)
找到了 这个
执行SQL语句
还有
但是本小白技术 有限 没有 成功利用 拿到shell
然后 就找啊找啊
终于找到了
模板管理那个 改名 亮了( ⊙o⊙ )千真万确 是改名 于是乎 果断 修改为xxx.asp 然后刷新下 就看不到原来的 shtml文件了
这就说明 :asp文件 解析了!!!!!!
于是果断 编辑文件 插入 一句话
然后修改为 asp文件 在 浏览器中打开这个文件
出现了 500的HTTP 状态码不管他 直接放在菜刀连接看看
成功啦\(≧▽≦)/
菜刀下的 终端 可以执行
通过cmd命令得到 如下信息
ipconfig: 外网
net user: 3个账户处的 没有人入侵过这个 服务器
systeminfo:47个补丁 win 2008R2
tasklist没有360 安全狗 之类的软件
服务器 提权的难度 不是 很大啊
上传pr提权 失败
然后上传:ms15-051.exe
好这个exp可以的直接就是 system权限了 于是 愉快的 添加账户
好 成功拿下
读取注册表是 60022 端口远程连接之
\(^o^)/~
就到这吧 至于内网渗透什么的 本小白现在还完全不懂
----热爱网络安全的小瓢虫
赞一个文章写的很详细哦 有前途的少年 写这么多不累么 很详细 不错 不错啊,小瓢虫:D 小清新 白白都开始爱上你了http://www.ihonker.org//mobcent//app/data/phiz/default/13.pnghttp://www.ihonker.org//mobcent//app/data/phiz/default/13.pnghttp://www.ihonker.org//mobcent//app/data/phiz/default/13.png
浮尘 发表于 2016-3-6 18:37
写这么多不累么
累啊 我作文都没有这么多字哎 小瓢虫 发表于 2016-3-6 23:48
累啊 我作文都没有这么多字哎
我都不写作文的 大哥哥写这么多不累吗