我很简单,请不要欺负我

第一题awvs是一个漏洞扫描工具

第二题:

一个asp网站,用旁注检测工具检测到有注入

一把梭得到admin密码,md5解密得admin888

登录到后台

试着上传shell,把上传文件限制加上一条php,找下有没有上传点

无果,百度下,采用修改配置文件的方法获取WebShell

在系统设置将网站首页改为一句话木马

菜刀连接inc/config.asp(配置文件位置),连接密码是#,成功getshell

应该是要获取服务器管理员密码,也就是提权。

尝试pr提权,首先上传pr.exe到,那就先找有写入权限得目录

切换虚拟终端,拒绝访问,可能是被管理员移除了cmd,那么上传cmd.exe

使用pr.exe执行命令,PR.exe "net user blacknight 123456 /add"添加用户

给添加的用户赋予管理员权限,PR.exe "net localgroup Administrators blacknight /add"

然后尝试开启远程登录权限,上传3389批处理文件

再pr运行3389.exe

现在尝试cmd运行mstsc启动远程连接程序,ipconfig查看靶机地址,连接成功,输入刚才创建的用户名密码登录

那么现在获取本地哈希了,工具cain可以获取本地hash并支持爆破,首先找个目录上传

安装之后打开,注意这里要选不受限的方式

再获取本地密码哈希

右键导出即可看到各个用户的密码哈希

把administrator的哈希放到在线网站破解即可(”:”后面的数值)

完成

网站综合渗透实验

扫一波后台,发现admin

告诉我们管理员用户名是linhai,但是有验证码,抓包看看验证码是什么逻辑

看到s和s2想到可以爆破,但提示信息啥的全都乱码,爆破了一下也没什么结果,换个思路吧

点了几下发现asp有挺多参数,用旁注检测下

那么随便点一个跑一下,得到用户名和密码的hash

pmd5查一下,得到密码

看第二题

在后台找找有没有上传什么的

首先是添加图片

上传之后啥也没有,回到首页也没找到上传的图片,同样的下面几项也没什么变化,继续翻

找到了添加文件,试着写入一句话看看

查看源码发现已经被转义了,失败

来到系统信息,logo处还有一个上传

可以上传,并且点击生成代码还给出了上传信息,有戏

那么现在就是怎么把这个图片解析成asp的问题了,我们注意到下面还有个数据库备份功能

假如我们把数据库路径改成我们的图片马,是不是就可以转换成asp保存下来了呢,用刚才的路径试一下

默认给出的路径是../db,也就是admin目录下,那么我们只要把数据库路径改成upfiles/202092077303.jpg,备份地址改成upfiles/202092077303.asp即可

访问下upfiles/202092077303.asp,已经成功转换为asp了

那么做个图片马上传再同样操作即可

这里制作图片马的时候遇到了点麻烦,一开始用copy命令或者直接文本打开图片加上一句话木马转换之后报错

猜想可能是jpg备份成asp出了啥问题,所以改下,直接创建一个1.jpg,直接写一句话传不上去,把一句话尽可能写多一点

这下解析了,菜刀连接即可

成功getshell,那么第三题

数据库文件一般都要conn*什么的,找一下

最后在wwwroot下的conn_old.asp里找到密码linhai123456woaini

最后一题

可以看到权限非常低

这个命令行不让用,我们上传一个cmd.exe试试,那么首先需要找到有上传权限的目录

右键cmd.exe打开虚拟终端

现在有终端了,systeminfo查看下系统信息

电脑版本是win server 2003 sp2,并且只打了一个补丁

提权辅助工具,输入补丁信息

找到如下信息,因为补丁打的太少,可能的exp太多,其中包括wp中其他师傅写的MS09-012

直接跟着MS09-012的来了

目录下再次上传Churrasco.exe和3389.bat

用Churrasco.exe添加账户

1
Churrasco.exe "net user blacknight 123456 /add"

将新增的账户添加到管理员组

1
Churrasco.exe "net localgroup administrators blacknight /add"

现在有个账户,那么尝试远程登录,先开启3389

1
Churrasco.exe 3389.bat

ipconfig查看本机ip地址

本机cmd运行mstsc远程连接,用刚才创建的账户登录

)

那么现在获取管理员hash即可,同样可以使用工具cain,过程和上个实验一样,做到这实验环境崩了,就这样吧。