💡 背景
刚参加完考试只出了xxxx,懂的都懂 于是就有了这次的漏洞挖掘。本次所发现的漏洞均已经提交至教育漏洞报告平台,本文所涉及到的漏洞细节均已做脱敏处理。
信息收集
起初只有一个ip地址 抱着试一试的心态来个目录扫描
同时F12随便浅看一下边边角角的信息
- IIS6.0作为中间件 ASP作为后端(后面发现不是)
- 两个入手点IIS6.0不正当配置可以任意文件上传&&解析漏洞
漏洞挖掘
用到的工具
中国蚁剑 冰蝎 哥斯拉(我这里用蚁剑 后面两个测试发现连不上🐎 卡住)&& BurpSuite
我这直接打开内置自带浏览器 人懒的可以像我这样 访问一下网站根目录 随机抓个包
看到Get请求 IIS6.0可能存在任意文件上传 GET改OPTIONS 看看效果
英文相信大家都会 这里用PUT方法来操作上传
这里是上传失败了 asp被拦了 右边响应404
这里上传有个小坑 只能上传TXT 然后用move||copy来更改文件名
我这里上传txt后面用move来更改文件然后 可以打开中国蚁剑连接 因为是国人系统 编码选择utf8
至此基本成功了一半 因为我的最终目标是拿到数据库或者system权限
提升权限
💡这里有点小坑不知道为什么我直接链上开终端打算运行命令 居然最底层的命令都运行不了
后来问了下peiqi &&查了下资料
权限这块 ASP<PHP<=ASPX
我一开始传的ASP权限是最低的 这里有个小坑 只有传ASPX里面是C#的语言才可以解析 并且文件名要为login.aspx
也是中间没有头绪的时候下载了网站的源码来反编译才知道被重定向了所以访问不到
言归正传 网上找了个ASPX🐎传上去页面长这样 毕竟是七八年前玩的技术了
这里是可以运行DOS命令的 但是没有办法交互 测试了一下 主机应该是配置了策略 只开81端口 其他端口不出网 配置挺严谨 也是后面没有办法上线CS2言归正传开始提权
这里查了下 win2003 不知道为什么 这是在虚拟机里面吗?
win2003 pr.exe提权 首先上传pr.exe 然后cmd 里面运行pr.exe pr会偷取Token(令牌) 之后创建一个pr进程 你在把pr当成cmd来使用就有了system权限!
至此目标完成50% 我的目标是看到成绩排名
「反编译&&代码审计」
我找到了关于数据库配置文件
使用非交互式shell测试连接正常 这是C#连接数据库的语法 但是我不会C# 所以写C#来拿数据理论上没有问题但我不会😔
退而求其次本来想走密码爆破系列 但一些文件引起了我的注意
Bin一般存放重要的二进制文件 也是现在我才知道这个网站前端是ASPX 后端是已经编译好的C# DLL
我说怎么找了这么久全是前端文件 二话不说 打开dnspy DLL文件拖进去反编译开始代码审计
虽然我不会C# 但是看看注入点和逻辑还是没问题的
*
这里我直接看到验证密码的dll 我直接修改 flag=true 这样永远返回的就是真 达到任意密码正确&&万能密码( 也是在这个时候我在知道有两个数据库 一个是登录的 一个是存放成绩的) 这里我们普通aspx没有修改DLL的权限 所以借助前面提权的pr创建的进程来实现替换
命令是我在自己的电脑上测试了很多次才放到目标主机运行 echo y| 是为了出现选项的时候选y 替换成功之后再打开网页 随便输入一个密码就可以了 这个时候 虽然没有拿到数据库 但可以通过服务器上的信息去登录遍历出每个人的成绩再进行排序
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
至此 本次渗透测试完成,本次测试所发现的漏洞均已经提交至教育漏洞报告平台
写在后面
把 没有拿到交互shell cs2没有上线成功 目标主机不出网 (初步判断策略问题) 其次 端口只放心81 我知道很多人会问我说提权之后直接开3389就好了 我是想说 开了就没这盘文章了哈哈(其实我试过 但好像被更改了默认端口 反正后面没有开起来)
目标存在向日葵远程连接 未完待续...........
声明
本次测试所发现的漏洞均已经提交至教育漏洞报告平台
