渗透测试

渗透测试之母校官网 - 完结篇

字号+ 作者:Binghe 来源:转载 2016-11-25 10:05 我要评论( )

社区:i春秋 时间:2016年8月7号晚 作者:Binghe #前奏传送门 传送门 1 : 渗透纪实之母校官网-part 1 传送门 2 : 连载 - part 2 - 渗透纪实之母校官网 #前言 对......

社区:i春秋
 
时间:2016年8月7号晚
 
作者:Binghe
#前奏传送门
传送门1渗透测试之母校官网-part 1
传送门2连载 - part 2 - 渗透测试之母校官网

#前言
对于传送门2,我表示很无语,相当不顺利,我兜了一圈 还是没能取得与主站能联通的主机
后来静了静,喝了一杯82年的专属乐事,咱还得继续!
 

#开始测试

由于目标处于内网 C段就不看了 更别说什么msf啥的 现在的目的就是搞他同一个公网ip下的web 延续内网渗透
在目标站的主页站内系统泄露了内网ip192.168.0.100,我们的目标就是与之连通的内网机器
此次旁注目标也是个学校
主页 文章区域 等等各种测试没有结果  后来找到一个二级目录
 

既然没有验证码 burpsuite爆破得密码进去
有文件上传功能 添加素材 部分过滤 asp过滤为as  很好解决  二次突破文件后缀名改为.asaspp上传就ok


但是无论是抓包还是看属性都不能 找不到他的相对路径 下图圈起来的地方是我传的一个一句话图片木马


通过那里可以看见我们的一句话木马被解析了 但是没有路径怎么菜刀连接上去?
我纳闷了半天  后来又喝了一杯82年乐事 想到   既然上面的一句话都解析了  那咱们直接上传个asp大马如何?原理上应该在那个地方出现大马,上传个土司大马 果不其然  内置的大马


这里其实已经拿到shell  感觉好奇妙
后来down了下这套系统研究了下 也可以这样拿shell
选择一个已经存在的可以访问的教案  修改之  添加素材木马 回到主页 查看教案详细内容 可看到教案素材
 

点击最后的素材就跳转到木马地址

MS10080 没有补丁
 

进去后  感觉这一个段子的服务器都是一个机房的  系统杀软 服务。。都一样
 

看上图 我就差不多明白 这对我其实并没有什么卵用  与目标不在同网关且ping不通
内网随便看一下
有个学校的监控摄像头  哎呀可惜了  现在是假期  看不到妹子!
 

继续下一个目标 也是个兄弟学校 程序是
 

 
这个版本的thinkphp算是比较新 2.1之前是有命令执行漏洞的
再次是一个二级目录  稍微正规点的学校网站 都存在二级目录的办公系统
把所有二级目录的登录界面用burp跑了个遍  运气还行  进去一个


上传文件是没问题的  但是遇到了和上次一样的问题 无论是抓包还是看属性 找不着路径  点击上传的文件 哪怕是个图片都会下载


这就令人费解  后来我就猜目录  各种猜  还是不行
后来摸索了进5个小时  差点把站“D”死了  终于特么的找到方法了
直接上传个附件大马aspx不过滤  文件管理重命名为binghe  然后右上角搜索binghe
 

搜到了
 
这时候点他 还是不行


这时候点上面工具栏的列表切换个视图
 
 
然后
 
 
击他  
们可爱的大马就弹弹弹 出来了
 
 
 
exp上去 system
 

net被禁用  继承systemapi添加  不行的 system权限拿不下服务器的案例非常多
 

360一套  上个kill360expkill
 

重启  再添加 并无卵用
 

后来翻目录找到这个
[AppleScript] 纯文本查看 复制代码
?
<add key="ConStringEncrypt" value="false" />
 
<add key="ConnectionString" value="server=WIN-OF7BT570JGN;database=wd;uid=sa;pwd=ok" />
 
<add key="DBName" value="wd" />
连接上去  这样
[AppleScript] 纯文本查看 复制代码
?
exec master..xp_cmdshell 'whoami'

SQL Server 阻止了对组件 ‘xp_cmdshell’ ’sys.xp_cmdshell’ 的访问,请参 SQL Server 联机丛书中的外围应用配置器

启用 配置选项 ‘show advanced options’ 0 更改为 1
[AppleScript] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
sp_configure 'show advanced options',1
 
reconfigure
 
go
 
sp_configure 'xp_cmdshell',1
 
reconfigure
 
go

再执行  这个system权限应该更完善 说是不一样的system

 
的确是这样
 

事实是这样 仍然与目标不通
 

再次的然并卵  不同网关  pingping不通的玩意
也存在监控 这是哪个学校  怎么看着有点像我的学校啊!一个人没有


我都懒得看了 我们只能再次放弃 继续下一个目标
这个很厉害,叫什么**清华中学,清华啊
拿到shell提了服务器  上去之后忘了注销 第二天卡了  登录不上去  shell也连接不上  500错误
 

无法复现过程 还剩下几张与基友讨论时的截图  大略说一下 思路
这次是直接一个内部的图书管理平台 没有逻辑漏洞 爆破用户名和密码显然不合理
有注册  点注册  完毕后需要管理审核。。
看到了找回密码  于是用找回密码功能 然而找回密码需要提供 图书员工号。。我们并不知道号码啊。。
 

于是用burpintruder枚举1-4位的纯数字  开始payload



可以得到 001  01 1 ….
用号码1找回密码 需要回答验证问题   问题是admin  我擦  这是问题吗? 想必你是怕忘了  直接把问题设成答案  填入admin 成功找回密码
 

登录之 上传一个图书  但是抓不到路径  
来到主页 最新图书板块  找到刚刚上传的图书  点击阅读”  成功取得shell


看到这里我的心就凉了半截  ping不通我们的目标  还是上服务器看看吧
 


这样的话让我怎么玩  这个网关到底是怎么分配的 192.168.1.1到底在哪里?





看来都是一套系统  都带监控的。。。




又在网关的段子扫了一圈  发现了好多学校的监控啊,没错也找了我学校的监控。但是web服务不在上面,很可惜。






玩到这里我已经开学了  还玩个毛!
学生狗 去过狗的生活了  基友们  再叙!


同外网ip的站已经拿的差不多 但基本对我们的目标无用。
在学校里,我还是不甘心啊,于是乎想到了社工。
我由学校网站上的编辑落款可以推测出,网站管理员就是我的计算机老师,那么等机会。
天公作美,某天计算机课,老师说并没什么要讲的,几个女 同学嚷嚷着让老师开网络给我们玩一会,老师拗不过几个萌妹子,于是开了网络,大家都上网玩了,于是乎,我想到一个猥琐的思路。我先把电脑关机,悄悄的蹲到 桌子下,轻轻地把电源拉松,于是电脑再也开不了机,我举手让老师过来,:‘老师,我的电脑查着资料就自动关机了,开不开机了,咋办?‘,老师看看了,也没 弄清原因,我就说,老师要不你先看看,我去用你的电脑查下资料可以吗,我是笑着说的,老师没有拒绝,于是呼,我打开老师电脑的第一步,先进入IE--工具--internet选项--浏览历史记录--设置--查看文件 打包了里面所有cookie文件,并传到网盘备用。
为了以防万一,我用老师的电脑浏览器打开学校后台,没错,自动保存了密码,只是加了星号,我们看不见而已





这个好办 审查元素,把密码输入框的type属性由password改为text,我便看到了明文密码,





没花1秒我就记住了密码,没几分钟就要下课,我也没登录,假装查了下资料,下课就回去了


等我回到家,第一时间登陆了网站后台,发现编辑器不可用,不能上传,后来用虚拟机的03系统的IE6的浏览器,果然好使,可以上传,但是依然无法通过截断获得shell,文件命名很死。
前面我们有爆出config.asp, 于是乎在网站信息插了个一句话,,
最后,激动人心的时候到了,时隔半年,我们终于拿下。
补图





如此完结。
结语:功夫不负有心人,渗透的精髓在于不断尝试!

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Security/267.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 菜刀不能成功连接已上传木马

    菜刀不能成功连接已上传木马

    2017-12-14 10:51

  • 测试一次LOL领皮肤钓鱼网站的过程

    测试一次LOL领皮肤钓鱼网站的过程

    2017-05-05 14:24

  • 部署恶意CDN表单劫持渗透XX网络安全论坛

    部署恶意CDN表单劫持渗透XX网络安全论坛

    2016-12-15 09:54

  • 渗透测试之母校官网-part 1

    渗透测试之母校官网-part 1

    2016-11-25 10:00

网友点评
暂时未开启评论功能~