菜鸟的渗透测试

早上接到通知，需要对一个站点进行测试。拿到IP第一时间微步了一下，是一个北京某里云的ip。

先对ip进行了扫描，发现开启的端口贼多，其中一个端口感觉没把我当人。

看到这个，嘴角轻蔑地一笑，哼，我偏不信。于是......

于是收起了嘴角的微笑，给开发人员单走一个6，聊表敬意。

一个ip开了这么多端口，有一半的弱口令。本来打算跑rdp和mssql弱口令的，但是笔记本cup快跑满了，就没弄，主要我觉得也跑不出来，长这么大，从来没爆破成功过，可能脸黑吧。

一个端口进去之后发现挺高端。就找了一番接口，在其中一个接口发现存在任意文件上传，都不需要绕过，直接选择asp的马即可。

然后就在这一块，问题来了，我上传了之后抓包抓到了返回包。

就这个路径，正常人连接都是URL+uploadfiles和后面路径，我连了半年，没连上，都要放弃了。一直报不存在，我寻思这安全做的，这么叼。

然后又重新找端口，又发现了一个任意文件上传。

把post后面的参数改为0就可以上传任意文件。

但是我访问一直访问不了，是真的晦气。大哥帮我看了一会这个洞，也传不上去。在这里就浪费了一个上午。

本来都想放弃了，用goby有扫了一下，又多了一个端口。点进去发现是个目录遍历的洞。

在里面我竟然找到了我传的马。。。。。。

但是我发现asp连不上，于是乎有回到第一个任意文件上传的站点，来了一波aspx。

原来真的有一念天堂一念地狱啊。

拿下拿下，这不就简简单单拿下了吗，然后准备交差的时候，领导说，没有确定资产，因为这个站点不是从客户站点打进去的。

那还不简单，使用哥斯拉插件，创建账户。加入管理员组，3389进行登录。因为他的3389面向公网打开，不用走内网代理。

因为是windows server 2008，可以读取管理员密码，上传软件获取管理员hash，然后复制到本地进行破解。

解出来的密码这么长，幸好我没有3389爆破，脸黑命啊。

然后远程管理员账号。

芜湖，起飞。在上面翻了一下，挂了几十个政府网站，当时心凉半截，距离无期徒刑又近了5年。幸好有授权，不然这波估计够把我儿子都带进去（开个玩笑）。还发现了之前的攻击历史，一块发给客户。摸鱼摸鱼

打完收工，温馨提示，渗透不规范，亲人两行泪。

原文始发于微信公众号（一个小白帽的成长之路）：菜鸟的渗透测试