看本小白如何拿下可爱的卡通玩具站并提权

小瓢虫

网站界面 还是蛮漂亮的。浏览了站 好些处 都是伪静态的 但是 还是找到了一些 可疑的URL
http://xxxxxxxx.com/products_class.aspx?id=354
页面如下

然后 在  URL 后加 and 1=2  页面返回不正常  如下图

于是乎判断这个是 注入点 鸡冻

在 URL +admin   或者 manage  
来找后台 （先找后台 再注入 有时候 辛辛苦苦的 注入得到 账号密码 却找不到后台 那就悲剧了）

幸运的找到了 后台地址
现在 使用 注入工具：sqlmap   pangolin  来进行注入

果然是 注入 通过 sqlmap判断 我们可以得到以下的信息


注入类型:get 型  注入点参数是 id=354这里
服务器操作系统：windows 2008 R2
微软 asp.net框架
数据库：mssql 2008
大概就是这么多信息

然后我开始YY了：
既然是08的服务器  IIS 版本 估计是7.5  可以加’ 爆出路径 然后sqlmap直接拿到这个 物理路径写shell   （YY中）
哇哈哈 忍不住笑了出来
于是 赶紧来判断 注入点的权限  
Sqlmap –u”注入点“ -- is-dba  啪 的一下 敲下了回车键 好吧 我承认当时有点激动 大半夜的 =，= 还好键盘 耐操
然而理想和现实的差别是巨大的

false  不是 dba权限  这个就不能直接写 shell了

╮(╯▽╰)╭ 哎  还是老老实实的 来 猜表名 列名吧
接下来 上 穿山甲 来注入 这个工具 就擅长这个  果然 不一会 就找到目标了

穿山甲 再获取数据 这时候 出错了 （意料之中）
接下来 就直接放sqlmap里面 dump吧  （已经知道了表名 列名）
-u"http://xxxxx.com/products_class.aspx?id=353" --dump -C"Username,UserPassword" -T"NT_sys_User" -D"yb"
好了 不一会就 跑出密码了

账号：admin  密码：000000

直接 登陆进后台

网站的cms不是主流的cms  估计是二次开发的
内置编辑器 是 fck编辑器
Fck编辑器配合 iis6.0 很容易 突破 下划线 getshell的 但是 本站 是IIS7.5 就没有拿下
那个 上传2个 同文件名方法 试过 也没有突破掉

其他的上传点 抓包 各种截断 也没有成功 这些失败的案例 我就不多说了（尴尬=，=）

找到了 这个

执行SQL语句
还有

但是本小白技术 有限 没有 成功利用 拿到shell

然后 就找啊找啊
终于找到了

模板管理  那个 改名 亮了  ( ⊙o⊙ )千真万确 是改名 于是乎 果断 修改为xxx.asp 然后刷新下 就看不到原来的 shtml文件了
这就说明 ：asp文件 解析了！！！！！！

于是果断 编辑文件 插入 一句话

然后修改为 asp文件 在 浏览器中打开这个文件

出现了 500的HTTP 状态码  不管他 直接放在菜刀连接看看

成功啦\(≧▽≦)/
菜刀下的 终端 可以执行
通过cmd命令得到 如下信息
ipconfig:    外网
net user: 3个账户  处的 没有人入侵过这个 服务器
systeminfo:  47个补丁 win 2008R2
tasklist没有360 安全狗 之类的软件

服务器 提权的难度 不是 很大啊
上传pr  提权 失败
然后上传：ms15-051.exe

好  这个exp  可以的  直接就是 system权限了 于是 愉快的 添加账户

好 成功拿下
读取注册表是 60022 端口  远程连接之


\(^o^)/~

就到这吧 至于内网渗透什么的 本小白现在还完全不懂

  ----热爱网络安全的小瓢虫

国光nice

赞一个  文章写的很详细哦 有前途的少年

浮尘

写这么多不累么

Petrel

很详细   不错

细草微风岸

不错啊，小瓢虫

昊情·

小清新

Te5tB99

白白都开始爱上你了

小瓢虫

浮尘 发表于 2016-3-6 18:37
写这么多不累么

累啊   我作文都没有这么多字哎

浮尘

小瓢虫 发表于 2016-3-6 23:48
累啊   我作文都没有这么多字哎

我都不写作文的

赵家小少爷

大哥哥写这么多不累吗