完結篇 - 滲透紀實之母校官網

來源:http://bbs.ichunqiu.com/thread-9533-1-1.html?from=ch

社區:i春秋

時間:2016年8月7號晚

作者:Binghe

#前奏傳送門

傳送門1滲透紀實之母校官網-part 1

傳送門2連載 - part 2 - 滲透紀實之母校官網

#前言

對于傳送門2,我表示很無語,相當不順利,我兜了一圈 還是沒能取得與主站能聯通的主機

后來靜了靜,喝了一杯82年的專屬樂事,咱還得繼續!

#開始測試

由于目標處于內網C段就不看了更別說什么msf啥的現在的目的就是搞他同一個公網ip下的web延續內網滲透

在目標站的主頁站內系統泄露了內網ip192.168.0.100,我們的目標就是與之連通的內網機器

此次旁注目標也是個學校

主頁文章區域等等各種測試沒有結果后來找到一個二級目錄

既然沒有驗證碼burpsuite爆破得密碼進去

有文件上傳功能添加素材部分過濾asp過濾為as很好解決二次突破文件后綴名改為.asaspp上傳就ok

但是無論是抓包還是看屬性都不能找不到他的相對路徑下圖圈起來的地方是我傳的一個一句話圖片木馬

通過那里可以看見我們的一句話木馬被解析了但是沒有路徑怎么菜刀連接上去?

我納悶了半天后來又喝了一杯82年樂事想到既然上面的一句話都解析了那咱們直接上傳個asp大馬如何?原理上應該在那個地方出現大馬,上傳個土司大馬果不其然內置的大馬

這里其實已經拿到shell感覺好奇妙

后來down了下這套系統研究了下也可以這樣拿shell

選擇一個已經存在的可以訪問的教案修改之添加素材木馬回到主頁查看教案詳細內容可看到教案素材

點擊最后的素材就跳轉到木馬地址

MS10080沒有補丁

進去后感覺這一個段子的服務器都是一個機房的系統殺軟服務。。都一樣

看上圖我就差不多明白這對我其實并沒有什么卵用與目標不在同網關且ping不通

內網隨便看一下

有個學校的監控攝像頭哎呀可惜了現在是假期看不到妹子!

繼續下一個目標也是個兄弟學校程序是

這個版本的thinkphp算是比較新2.1之前是有命令執行漏洞的

再次是一個二級目錄稍微正規點的學校網站都存在二級目錄的辦公系統

把所有二級目錄的登錄界面用burp跑了個遍運氣還行進去一個

上傳文件是沒問題的但是遇到了和上次一樣的問題無論是抓包還是看屬性找不著路徑點擊上傳的文件哪怕是個圖片都會下載

這就令人費解后來我就猜目錄各種猜還是不行

后來摸索了進5個小時差點把站“D”死了終于特么的找到方法了

直接上傳個附件大馬aspx不過濾文件管理重命名為binghe然后右上角搜索binghe

搜到了

這時候點他還是不行

這時候點上面工具欄的列表切換個視圖

然后

擊他

們可愛的大馬就彈彈彈出來了

exp上去system

net被禁用繼承systemapi添加不行的system權限拿不下服務器的案例非常多

360一套上個kill360expkill

重啟再添加并無卵用

后來翻目錄找到這個

[AppleScript]純文本查看復制代碼

?

連接上去這樣

[AppleScript]純文本查看復制代碼

?

exec master..xp_cmdshell 'whoami'

SQL Server阻止了對組件‘xp_cmdshell’的過程’sys.xp_cmdshell’的訪問,請參閱SQL Server聯機叢書中的“外圍應用配置器”。

啟用配置選項‘show advanced options’0更改為1

[AppleScript]純文本查看復制代碼

?

01

02

03

04

05

06

07

08

09

10

11sp_configure 'showadvanced options',1

reconfigure

go

sp_configure 'xp_cmdshell',1

reconfigure

go

再執行這個system權限應該更完善說是不一樣的system

的確是這樣

事實是這樣 仍然與目標不通

再次的然并卵不同網關pingping不通的玩意

也存在監控這是哪個學校怎么看著有點像我的學校啊!一個人沒有

我都懶得看了我們只能再次放棄繼續下一個目標

這個很厲害,叫什么**清華中學,清華啊

拿到shell提了服務器上去之后忘了注銷第二天卡了登錄不上去shell也連接不上500錯誤

無法復現過程還剩下幾張與基友討論時的截圖大略說一下思路

這次是直接一個內部的圖書管理平臺沒有邏輯漏洞爆破用戶名和密碼顯然不合理

有注冊點注冊完畢后需要管理審核。。

看到了找回密碼于是用找回密碼功能然而找回密碼需要提供圖書員工號。。我們并不知道號碼啊。。

于是用burpintruder枚舉1-4位的純數字開始payload

可以得到001??01 1 ….

用號碼1找回密碼需要回答驗證問題問題是admin我擦這是問題嗎?想必你是怕忘了直接把問題設成答案填入admin成功找回密碼

登錄之上傳一個圖書但是抓不到路徑

來到主頁最新圖書板塊找到剛剛上傳的圖書點擊閱讀成功取得shell

看到這里我的心就涼了半截ping不通我們的目標還是上服務器看看吧

這樣的話讓我怎么玩這個網關到底是怎么分配的192.168.1.1到底在哪里?

看來都是一套系統都帶監控的。。。

又在網關的段子掃了一圈發現了好多學校的監控啊,沒錯也找了我學校的監控。但是web服務不在上面,很可惜。

玩到這里我已經開學了還玩個毛!

學生狗去過狗的生活了基友們再敘!

同外網ip的站已經拿的差不多但基本對我們的目標無用。

在學校里,我還是不甘心啊,于是乎想到了社工。

我由學校網站上的編輯落款可以推測出,網站管理員就是我的計算機老師,那么等機會。

天公作美,某天計算機課,老師說并沒什么要講的,幾個女同學嚷嚷著讓老師開網絡給我們玩一會,老師拗不過幾個萌妹子,于是開了網絡,大家都上網玩了,于是乎,我想到一個猥瑣的思路。我先把電腦關機,悄悄的蹲到桌子下,輕輕地把電源拉松,于是電腦再也開不了機,我舉手讓老師過來,:‘老師,我的電腦查著資料就自動關機了,開不開機了,咋辦?‘,老師看看了,也沒弄清原因,我就說,老師要不你先看看,我去用你的電腦查下資料可以嗎,我是笑著說的,老師沒有拒絕,于是呼,我打開老師電腦的第一步,先進入IE--工具--internet選項--瀏覽歷史記錄--設置--查看文件打包了里面所有cookie文件,并傳到網盤備用。

為了以防萬一,我用老師的電腦瀏覽器打開學校后臺,沒錯,自動保存了密碼,只是加了星號,我們看不見而已

這個好辦審查元素,把密碼輸入框的type屬性由password改為text,我便看到了明文密碼,

沒花1秒我就記住了密碼,沒幾分鐘就要下課,我也沒登錄,假裝查了下資料,下課就回去了

等我回到家,第一時間登陸了網站后臺,發現編輯器不可用,不能上傳,后來用虛擬機的03系統的IE6的瀏覽器,果然好使,可以上傳,但是依然無法通過截斷獲得shell,文件命名很死。

前面我們有爆出config.asp,于是乎在網站信息插了個一句話,,

最后,激動人心的時候到了,時隔半年,我們終于拿下。

補圖

如此完結。

結語:功夫不負有心人,滲透的精髓在于不斷嘗試!

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容