[审核通过] 记一次渗透（08sec申请转正帖）

hope · 发表于 2014-6-18 21:10:29

##########################################
#  Title ：记一次日站（08sec申请转正帖）
#  Time ： 2014年6月18日
#  Team  ：  08sec team
#  Author ： Hope
#  首发： 08安全小组
#######################################
这是我第一次在论坛发帖子，写的不好，请原谅哈，想申请转正！
这只是记录一个渗透的过程
目标站是一个易创思的站
目标站：http://www.xxxx.net/Login.aspx
QQ图片20140618193424.jpg

刚开始想着注入啊，弱口令，找数据库等等都无解，然后我就去找资料，人品还好吧，过了将近半个小时，找到了注入。
作为一个转折点，http://www.xxxxxx.net/Login.aspx?APPSecret=1，很明显这个是出自/login.aspx，然后就丢进工具跑跑吧
QQ图片20140618193905.jpg

哦，是可以的，可以通过跑出管理员账号密码，去登陆的，然后什么噼里啪啦拿shell！但我没有继续跑，因为我意外的发现了个sa，然后我就试试，顺藤摸瓜吧，
sa 0x01004086ceb67a328dea988b9fa87c08c010bc44b5704bc022a7 去登陆mysql试试
QQ图片20140618200507.jpg

好吧成功了！ rp真好！现在来提权吧。这里或者可以找网站目录写入一句话（sa权限），不过我是直接弄！
QQ图片20140618200845.jpg

成功了！人品真好，直接端口就是3389，外网，通过域名直接连上
QQ图片20140618210431.jpg

好吧！就这样了，希望能转正吧！

管理02 · 发表于 2014-6-19 17:10:12

质量一般，加油吧

erict · 发表于 2014-6-22 17:47:19

我是菜鸟一个，过来学习学习

蓝颜 · 发表于 2014-6-22 19:41:37

这样就能转正？

Owen · 发表于 2014-6-23 08:24:09

{:soso_e100:}写的可以在详细点就好了，不过文章大体不错！加油哦

beizidream · 发表于 2014-6-23 08:52:00

lscz 打码还需努力啊

budong · 发表于 2014-6-29 23:50:57

初来乍到

shadow · 发表于 2014-8-1 15:29:22

提示: 作者被禁止或删除内容自动屏蔽

諾殇 · 发表于 2014-8-19 01:29:02

加油。学习了下

ixiaodu · 发表于 2014-8-27 08:13:36

文采不好，要多写点，写的很难的样子，然后才能突出你的技术

shadow shadow 当前离线积分 4 头像被屏蔽该用户从未签到	发表于 2014-8-1 15:29:22 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
shadow shadow 当前离线积分 4 头像被屏蔽该用户从未签到
	回复支持反对使用道具举报

[审核通过] 记一次渗透（08sec申请转正帖）

指导单位

旗下站点

联系我们