查看: 33430|回复: 26

看本小白如何拿下可爱的卡通玩具站并提权

[复制链接]
  • TA的每日心情
    擦汗
    2017-7-22 21:50
  • 签到天数: 21 天

    [LV.4]偶尔看看III

    发表于 2016-3-6 17:20:16 | 显示全部楼层 |阅读模式
    1.png
    网站界面 还是蛮漂亮的。浏览了站 好些处 都是伪静态的 但是 还是找到了一些 可疑的URL
    http://xxxxxxxx.com/products_class.aspx?id=354
    页面如下
    2.png
    然后 在  URL 后加 and 1=2  页面返回不正常  如下图
    3.png
    于是乎判断这个是 注入点 鸡冻

    在 URL +admin   或者 manage  
    来找后台 (先找后台 再注入 有时候 辛辛苦苦的 注入得到 账号密码 却找不到后台 那就悲剧了)
    4.png
    幸运的找到了 后台地址
    现在 使用 注入工具:sqlmap   pangolin  来进行注入
    5.png
    果然是 注入 通过 sqlmap判断 我们可以得到以下的信息


    注入类型:get 型  注入点参数是 id=354这里
    服务器操作系统:windows 2008 R2
    微软 asp.net框架
    数据库:mssql 2008
    大概就是这么多信息

    然后我开始YY了:
    既然是08的服务器  IIS 版本 估计是7.5  可以加’ 爆出路径 然后sqlmap直接拿到这个 物理路径写shell   (YY中)
    哇哈哈 忍不住笑了出来
    于是 赶紧来判断 注入点的权限  
    Sqlmap –u”注入点“ -- is-dba  啪 的一下 敲下了回车键 好吧 我承认当时有点激动 大半夜的 =,= 还好键盘 耐操
    然而理想和现实的差别是巨大的

    2.png false  不是 dba权限  这个就不能直接写 shell了
    6.png
    ╮(╯▽╰)╭ 哎  还是老老实实的 来 猜表名 列名吧
    接下来 上 穿山甲 来注入 这个工具 就擅长这个  果然 不一会 就找到目标了
    7.png 8.png
    穿山甲 再获取数据 这时候 出错了 (意料之中)
    接下来 就直接放sqlmap里面 dump吧  (已经知道了表名 列名)
    -u"http://xxxxx.com/products_class.aspx?id=353" --dump -C"Username,UserPassword" -T"NT_sys_User" -D"yb"
    好了 不一会就 跑出密码了
    9.png
    账号:admin  密码:000000
    10.png
    直接 登陆进后台
    11.png
    网站的cms不是主流的cms  估计是二次开发的
    内置编辑器 是 fck编辑器
    Fck编辑器配合 iis6.0 很容易 突破 下划线 getshell的 但是 本站 是IIS7.5 就没有拿下
    那个 上传2个 同文件名方法 试过 也没有突破掉
    12.png 13.png
    其他的上传点 抓包 各种截断 也没有成功 这些失败的案例 我就不多说了(尴尬=,=)

    找到了 这个
    14.png
    执行SQL语句
    还有
    15.png
    但是本小白技术 有限 没有 成功利用 拿到shell
    16.png
    然后 就找啊找啊
    终于找到了
    17.png
    模板管理  那个 改名 亮了  ( ⊙o⊙ )千真万确 是改名 于是乎 果断 修改为xxx.asp 然后刷新下 就看不到原来的 shtml文件了
    这就说明 :asp文件 解析了!!!!!!
    666.png
    于是果断 编辑文件 插入 一句话
    QQ截图20160306164101.png
    然后修改为 asp文件 在 浏览器中打开这个文件
    19.png
    出现了 500的HTTP 状态码  不管他 直接放在菜刀连接看看
    20.png
    成功啦\(≧▽≦)/
    菜刀下的 终端 可以执行
    通过cmd命令得到 如下信息
    ipconfig:    外网
    net user: 3个账户  处的 没有人入侵过这个 服务器
    systeminfo:  47个补丁 win 2008R2
    tasklist没有360 安全狗 之类的软件
    21.png
    服务器 提权的难度 不是 很大啊
    上传pr  提权 失败
    然后上传:ms15-051.exe
    22.png
    好  这个exp  可以的  直接就是 system权限了 于是 愉快的 添加账户
    23.png
    好 成功拿下
    读取注册表是 60022 端口  远程连接之

    24.png 25.png
    \(^o^)/~

    就到这吧 至于内网渗透什么的 本小白现在还完全不懂

      ----热爱网络安全的小瓢虫
    24.png

    评分

    参与人数 11i币 +64 贡献 +1 收起 理由
    蝶恋花 + 1 感谢分享
    T4rk + 1 原创帖子,
    heiye + 5
    以谁为师 + 3 厉害 哈哈
    xiaoye + 11 支持原创
    浮尘 + 14 感谢分享
    90_ + 1 支持原创
    小圈圈 + 5 支持原创
    细草微风岸 + 5 支持原创
    国光nice + 5 感谢分享
    wuyan + 14 支持原创

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-3-6 18:25:54 | 显示全部楼层
    赞一个  文章写的很详细哦 有前途的少年
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2016-3-6 18:37:32 | 显示全部楼层
    写这么多不累么

    点评

    累啊 我作文都没有这么多字哎  详情 回复 发表于 2016-3-6 23:48
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2023-4-12 21:54
  • 签到天数: 404 天

    [LV.9]以坛为家II

    发表于 2016-3-6 18:50:07 | 显示全部楼层
    很详细   不错
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-11-12 12:49
  • 签到天数: 222 天

    [LV.7]常住居民III

    发表于 2016-3-6 18:50:50 | 显示全部楼层
    不错啊,小瓢虫
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2016-3-6 20:23:35 | 显示全部楼层
    小清新
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2016-3-6 23:08:37 | 显示全部楼层
    白白都开始爱上你了
    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-7-22 21:50
  • 签到天数: 21 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-3-6 23:48:24 | 显示全部楼层
    浮尘 发表于 2016-3-6 18:37
    写这么多不累么

    累啊   我作文都没有这么多字哎

    点评

    我都不写作文的  详情 回复 发表于 2016-3-7 07:04
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2016-3-7 07:04:21 | 显示全部楼层
    小瓢虫 发表于 2016-3-6 23:48
    累啊   我作文都没有这么多字哎

    我都不写作文的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-10 12:56
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2016-3-7 08:49:41 | 显示全部楼层
    大哥哥写这么多不累吗
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 17:06 , Processed in 0.050555 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部