MENU

一次简单的渗透测试过程

May 26, 2013 • Security

朋友发来的一个站,让我帮忙看看。用了一上午时间把主站搞定了,可是主站是提不了权LINUX,而且内网90%都是WINDOWS的服务器,拿LINUX搞WINDOWS各种不爽,况且还是个低权限的,NMAP的各种参数都用不了。又从外网看了下C段,除了主站外对外开了三个WEB服务,俩静态的放弃了,就剩一个2K3+IIS+ASP的站。就他了!

操起各种SCANNER一顿扫,没注入点,找到了后台路径。惆怅了!发现了一个能和管理员留言的地方,于是乎猥琐流XSS盲打后台。管理员也很不负责,M天之后他才登陆。进了后台,发现管理员的密码居然是123456,真想狠狠的抽自己个嘴巴,然后再把手剁了!

进了后台发现了一处上传图片,未果,放弃。又四处逛逛,发现有个上传档案的地方,应该能上传webshell(如图1)。上传了个ASP文件成功了,点了下后台的下载链接居然直接下载了,找不到上传路径。抓包看了下,也不行。

20121026110101_73741.jpg

我突然对这个上传产生了一点自己的看法,那就是:MLGB!!

没办法,想着在后台找个注入点读数据,把写在数据库里download的路径读出来。有的被过滤了,有的加引号报错,MYSQL4的数据库,UNION查询9个字段,但是提示类型不正确CINT,应该是ASP代码里强制加了类型转换。

20121026104647_72799.jpg

继续在后台找别的注入点,发现了能正常UNION查询的,搞之。MYSQL4的数据库果断LOAD_FILE。先读IIS的配置文件C:WINDOWSsystem32inetsrvMetaBase.xml,得到网站根目录。之后load_file数据库连接文件,在之前的LINUX的SHELL里连,怎么都连不上,纳闷了。猜数据库的表和列,猜到表了,但是死活猜不出保存上传存储路径的列。

没办法,读download.asp,的文件得到:

20121026104733_47187.png

分析下代码,请注意

strAbsFile = Server.MapPath(".") & "\file\" & strSNO & trim(rs(""))

这句。

原来上传的文件保存规则是网站根路径file上传文件的ID.后缀。

这样问题就解决了!嗯哼,成功拿到webshell,然后就开始各种猥琐的内网渗透,就不写了。。

Archives QR Code
QR Code for this page
Tipping QR Code