从Shell到提权一条龙

声明:The3ight原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担!

在一次渗透中，拿到域名WWW.*****.COM，访问网站，发现疑似注入点http://www.*****.com/ProductDetails.aspx?id=40，放入SqlMap，无果。

查找后台，手动输入/admin，403禁止访问，尝试再加上login.aspx，成功找出后台地址：http://www.****.com/admin/login.aspx。手工测试弱口令，给出提示：密码错误。说明admin账号存在，但密码不对。

尝试进行登录框POST注入，无果。在抓包时发现一个有意思的事，请求的Cookie中包含该网站的绝对路径，可惜并没有注入。

由于后台登录处并没有验证码，最后决定使用Burp进行爆破，很幸运，爆出来了，虽然他的密码比较简单。

成功登录至后台，开始拿Shell。放眼整个后台，所有上传都是调用的这个编辑器，起初看到就觉着已经没戏了，但是在点开图片上传之后我又改变了看法，动易的编辑器，应该会有洞的吧。

参考了一下这篇文章 https://www.uedbox.com/post/41005/ ，觉得有戏，Burp启动！按照文章大概的意思，修改config_fileFilters参数下允许上传的文件类型，增加aspx类型文件，即可成功上传Shell。

访问Webshell。

接下来查找web.config，找出Mssql数据库最高管理员sa的密码，并通过xp_cmdshell成功提升至system权限，时间问题，并没有转发进内网，至此结束。

本文始发于微信公众号（渗透练习生）：从Shell到提权一条龙