我很简单,请不要欺负我
第一题awvs是一个漏洞扫描工具
第二题:
一个asp网站,用旁注检测工具检测到有注入
一把梭得到admin密码,md5解密得admin888
登录到后台
试着上传shell,把上传文件限制加上一条php,找下有没有上传点
无果,百度下,采用修改配置文件的方法获取WebShell
在系统设置将网站首页改为一句话木马
菜刀连接inc/config.asp(配置文件位置),连接密码是#,成功getshell
应该是要获取服务器管理员密码,也就是提权。
尝试pr提权,首先上传pr.exe到,那就先找有写入权限得目录
切换虚拟终端,拒绝访问,可能是被管理员移除了cmd,那么上传cmd.exe
使用pr.exe执行命令,PR.exe "net user blacknight 123456 /add"添加用户
给添加的用户赋予管理员权限,PR.exe "net localgroup Administrators blacknight /add"
然后尝试开启远程登录权限,上传3389批处理文件
再pr运行3389.exe
现在尝试cmd运行mstsc启动远程连接程序,ipconfig查看靶机地址,连接成功,输入刚才创建的用户名密码登录
那么现在获取本地哈希了,工具cain可以获取本地hash并支持爆破,首先找个目录上传
安装之后打开,注意这里要选不受限的方式
再获取本地密码哈希
右键导出即可看到各个用户的密码哈希
把administrator的哈希放到在线网站破解即可(”:”后面的数值)
完成
网站综合渗透实验
扫一波后台,发现admin
告诉我们管理员用户名是linhai,但是有验证码,抓包看看验证码是什么逻辑
看到s和s2想到可以爆破,但提示信息啥的全都乱码,爆破了一下也没什么结果,换个思路吧
点了几下发现asp有挺多参数,用旁注检测下
那么随便点一个跑一下,得到用户名和密码的hash
pmd5查一下,得到密码
看第二题
在后台找找有没有上传什么的
首先是添加图片
上传之后啥也没有,回到首页也没找到上传的图片,同样的下面几项也没什么变化,继续翻
找到了添加文件,试着写入一句话看看
查看源码发现已经被转义了,失败
来到系统信息,logo处还有一个上传
可以上传,并且点击生成代码还给出了上传信息,有戏
那么现在就是怎么把这个图片解析成asp的问题了,我们注意到下面还有个数据库备份功能
假如我们把数据库路径改成我们的图片马,是不是就可以转换成asp保存下来了呢,用刚才的路径试一下
默认给出的路径是../db,也就是admin目录下,那么我们只要把数据库路径改成upfiles/202092077303.jpg,备份地址改成upfiles/202092077303.asp即可
访问下upfiles/202092077303.asp,已经成功转换为asp了
那么做个图片马上传再同样操作即可
这里制作图片马的时候遇到了点麻烦,一开始用copy命令或者直接文本打开图片加上一句话木马转换之后报错
猜想可能是jpg备份成asp出了啥问题,所以改下,直接创建一个1.jpg,直接写一句话传不上去,把一句话尽可能写多一点
这下解析了,菜刀连接即可
成功getshell,那么第三题
数据库文件一般都要conn*什么的,找一下
最后在wwwroot下的conn_old.asp里找到密码linhai123456woaini
最后一题
可以看到权限非常低
这个命令行不让用,我们上传一个cmd.exe试试,那么首先需要找到有上传权限的目录
右键cmd.exe打开虚拟终端
现在有终端了,systeminfo查看下系统信息
电脑版本是win server 2003 sp2,并且只打了一个补丁
在提权辅助工具,输入补丁信息
找到如下信息,因为补丁打的太少,可能的exp太多,其中包括wp中其他师傅写的MS09-012
直接跟着MS09-012的来了
目录下再次上传Churrasco.exe和3389.bat
用Churrasco.exe添加账户
1 | Churrasco.exe "net user blacknight 123456 /add" |
将新增的账户添加到管理员组
1 | Churrasco.exe "net localgroup administrators blacknight /add" |
现在有个账户,那么尝试远程登录,先开启3389
1 | Churrasco.exe 3389.bat |
ipconfig查看本机ip地址
本机cmd运行mstsc远程连接,用刚才创建的账户登录
)
那么现在获取管理员hash即可,同样可以使用工具cain,过程和上个实验一样,做到这实验环境崩了,就这样吧。