从Shell到提权一条龙

  • A+
所属分类:安全文章

声明:The3ight原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!


在一次渗透中,拿到域名WWW.*****.COM,访问网站,发现疑似注入点http://www.*****.com/ProductDetails.aspx?id=40,放入SqlMap,无果。

从Shell到提权一条龙


查找后台,手动输入/admin,403禁止访问,尝试再加上login.aspx,成功找出后台地址:http://www.****.com/admin/login.aspx。手工测试弱口令,给出提示:密码错误。说明admin账号存在,但密码不对。

从Shell到提权一条龙


尝试进行登录框POST注入,无果。在抓包时发现一个有意思的事,请求的Cookie中包含该网站的绝对路径,可惜并没有注入。

从Shell到提权一条龙


由于后台登录处并没有验证码,最后决定使用Burp进行爆破,很幸运,爆出来了,虽然他的密码比较简单。

从Shell到提权一条龙


成功登录至后台,开始拿Shell。放眼整个后台,所有上传都是调用的这个编辑器,起初看到就觉着已经没戏了,但是在点开图片上传之后我又改变了看法,动易的编辑器,应该会有洞的吧。

从Shell到提权一条龙


从Shell到提权一条龙


参考了一下这篇文章 https://www.uedbox.com/post/41005/ ,觉得有戏,Burp启动!按照文章大概的意思,修改config_fileFilters参数下允许上传的文件类型,增加aspx类型文件,即可成功上传Shell。

从Shell到提权一条龙


访问Webshell。

从Shell到提权一条龙


接下来查找web.config,找出Mssql数据库最高管理员sa的密码,并通过xp_cmdshell成功提升至system权限,时间问题,并没有转发进内网,至此结束。

从Shell到提权一条龙


从Shell到提权一条龙


本文始发于微信公众号(渗透练习生):从Shell到提权一条龙

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: