实战 | 记一次本升砖某学校拿shell的回忆录

简介: 实战 | 记一次本升砖某学校拿shell的回忆录

💡 背景

刚参加完考试只出了xxxx,懂的都懂 于是就有了这次的漏洞挖掘。本次所发现的漏洞均已经提交至教育漏洞报告平台,本文所涉及到的漏洞细节均已做脱敏处理。

信息收集

起初只有一个ip地址 抱着试一试的心态来个目录扫描

图片

同时F12随便浅看一下边边角角的信息

  • IIS6.0作为中间件 ASP作为后端(后面发现不是)
  • 两个入手点IIS6.0不正当配置可以任意文件上传&&解析漏洞

图片

漏洞挖掘

用到的工具

中国蚁剑 冰蝎 哥斯拉(我这里用蚁剑 后面两个测试发现连不上🐎 卡住)&& BurpSuite

我这直接打开内置自带浏览器 人懒的可以像我这样 访问一下网站根目录 随机抓个包

看到Get请求 IIS6.0可能存在任意文件上传 GET改OPTIONS 看看效果

英文相信大家都会 这里用PUT方法来操作上传

这里是上传失败了 asp被拦了 右边响应404

这里上传有个小坑 只能上传TXT 然后用move||copy来更改文件名

图片

我这里上传txt后面用move来更改文件然后 可以打开中国蚁剑连接 因为是国人系统 编码选择utf8

图片

至此基本成功了一半 因为我的最终目标是拿到数据库或者system权限

提升权限

💡这里有点小坑不知道为什么我直接链上开终端打算运行命令 居然最底层的命令都运行不了

后来问了下peiqi &&查了下资料

权限这块 ASP<PHP<=ASPX

我一开始传的ASP权限是最低的 这里有个小坑 只有传ASPX里面是C#的语言才可以解析 并且文件名要为login.aspx

也是中间没有头绪的时候下载了网站的源码来反编译才知道被重定向了所以访问不到

言归正传 网上找了个ASPX🐎传上去页面长这样 毕竟是七八年前玩的技术了

图片

这里是可以运行DOS命令的 但是没有办法交互 测试了一下 主机应该是配置了策略 只开81端口 其他端口不出网 配置挺严谨 也是后面没有办法上线CS2言归正传开始提权

这里查了下 win2003 不知道为什么 这是在虚拟机里面吗?

图片

win2003 pr.exe提权 首先上传pr.exe 然后cmd 里面运行pr.exe pr会偷取Token(令牌) 之后创建一个pr进程 你在把pr当成cmd来使用就有了system权限!

至此目标完成50% 我的目标是看到成绩排名

「反编译&&代码审计」

我找到了关于数据库配置文件

使用非交互式shell测试连接正常 这是C#连接数据库的语法 但是我不会C# 所以写C#来拿数据理论上没有问题但我不会😔

退而求其次本来想走密码爆破系列 但一些文件引起了我的注意

图片

Bin一般存放重要的二进制文件 也是现在我才知道这个网站前端是ASPX 后端是已经编译好的C# DLL

我说怎么找了这么久全是前端文件 二话不说 打开dnspy DLL文件拖进去反编译开始代码审计

虽然我不会C# 但是看看注入点和逻辑还是没问题的

图片*

这里我直接看到验证密码的dll 我直接修改 flag=true 这样永远返回的就是真 达到任意密码正确&&万能密码( 也是在这个时候我在知道有两个数据库 一个是登录的 一个是存放成绩的) 这里我们普通aspx没有修改DLL的权限 所以借助前面提权的pr创建的进程来实现替换

命令是我在自己的电脑上测试了很多次才放到目标主机运行 echo y| 是为了出现选项的时候选y 替换成功之后再打开网页 随便输入一个密码就可以了 这个时候 虽然没有拿到数据库 但可以通过服务器上的信息去登录遍历出每个人的成绩再进行排序

' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

至此 本次渗透测试完成,本次测试所发现的漏洞均已经提交至教育漏洞报告平台

写在后面

把 没有拿到交互shell cs2没有上线成功 目标主机不出网 (初步判断策略问题) 其次 端口只放心81 我知道很多人会问我说提权之后直接开3389就好了 我是想说 开了就没这盘文章了哈哈(其实我试过 但好像被更改了默认端口 反正后面没有开起来)

图片

目标存在向日葵远程连接 未完待续...........

声明

本次测试所发现的漏洞均已经提交至教育漏洞报告平台

目录
相关文章
|
7月前
|
Shell
shell脚本实战示例
shell脚本实战示例
90 6
|
7月前
|
Ubuntu Linux Shell
【Linux操作系统】探秘Linux奥秘:shell 编程的解密与实战
【Linux操作系统】探秘Linux奥秘:shell 编程的解密与实战
116 0
|
7月前
|
Shell 索引
shell脚本入门到实战(四)- 数组
shell脚本入门到实战(四)- 数组
|
7月前
|
Shell
shell脚本入门到实战(三) - 变量
shell脚本入门到实战(三) - 变量
|
7月前
|
Shell Linux 人机交互
shell脚本入门到实战(二)--shell输入和格式化输出
shell脚本入门到实战(二)--shell输入和格式化输出
449 0
|
Shell 测试技术
Shell编程实战的命令测试
Shell编程实战的命令测试
59 1
|
7月前
|
分布式计算 Java 大数据
【大数据技术Hadoop+Spark】HDFS Shell常用命令及HDFS Java API详解及实战(超详细 附源码)
【大数据技术Hadoop+Spark】HDFS Shell常用命令及HDFS Java API详解及实战(超详细 附源码)
736 0
|
6月前
|
移动开发 监控 安全
【实战指南】从零构建嵌入式远程Shell,提升跨地域协作效率
构建嵌入式远程Shell的文章概述: - 目标:解决嵌入式软件测试中的远程调试难题,提供轻量级解决方案。 - 功能:包括远程交互、命令执行与反馈,强调多客户端并发连接和稳定性。 - 设计:基于Socket服务端架构,使用I/O多路复用和popen函数,确保命令执行与结果反馈。 - 需求:支持命令解析、执行和结果回传,考虑网络不稳定情况下的连接保持。 - 安全性:仅限内部调试,未详细讨论加密等安全措施。 - 实现:关注点在Socket服务端程序,包括监听、数据过滤和命令处理。 - 测试:通过 Telnet 和Windows网络助手验证连接和命令执行功能。
337 68
|
7月前
|
监控 Shell
Shell脚本实战教学
Shell脚本实战教学
79 5
|
7月前
|
Shell 应用服务中间件 Linux
shell脚本入门到实战(一)
shell脚本入门到实战(一)