距离这次渗透已经过了两三年,由于时间久远,当年的水平和思路有限 很多细节已经忘记了,只找到了图片。由于笔者的表达能力和文笔有限,部分语言使用了GPT进行语言上的组织。还请大家随意看看,相互借鉴。对这个站点进行渗透的原因是,笔者刚参加完某个考试,但是排名迟迟未公布,于是笔者对这个网站发起了猛烈的进攻。
拿到一个目标站点,开始先上一波目录扫描
然后习惯性打开F12看一下有什么可以用的信息 然后这里可以看到响应头出现了IIS6.0 IIS6.0是 Microsoft 的 Internet Information Services(IIS)网络服务器软件的一个版本,它是 Windows Server 2003 操作系统的一部分。
漏洞挖掘
这里使用BurpSuite直接使用了内置的浏览器进行测试。
首先 OPTIONS发了个包,发现可以使用PUT方法,那么思路就是直接PUT一个木马上去
首先 OPTIONS发了个包,发现可以使用PUT方法,那么思路就是直接PUT一个木马上去
这里用PUT方法来操作上传
这里是上传失败了 asp被拦了 右边响应404
这里上传有个小坑 不知道是被拦截了还是有白名单上,尝试了各种绕过都行不通 后来干脆就传了一个txt上去 然后用move||copy来移动文件,达到修改文件名的目的
我这里上传txt后面用move来更改文件然后 可以打开中国蚁剑连接 编码选择utf8
至此基本成功了一半 因为我的最终目标是拿到数据库或者system权限
提升权限
💡可以看到,无法执行命令。
猜测应该是权限问题,因为是上传的是asp,俗称小马。应该再上传一个ASPX(大马)网上找了个ASPX🐎传上去页面长这样 毕竟是十年前玩的技术了
这里可以运行DOS命令,但无法进行交互式操作。我进行了测试,发现主机似乎已配置了严格的出网策略,只允许81端口通信,而其他端口则不允许出网访问。这种配置非常严格,因此接下来需要专注于提权操作。现在让我们回到主题,开始讨论提权。
win2003 pr.exe提权 首先上传pr.exe 然后cmd 里面运行pr.exe pr会偷取Token(令牌) 之后创建一个pr进程 你在把pr当成cmd来使用就有了system权限!
至此目标完成50% 我的目标是拿到数据库,因为当年笔者正在经行考试,想提前知道成绩排名
反编译&&代码审计
我找到了关于数据库配置文件
使用非交互式shell测试连接正常 这是C#连接数据库的语法 但是我不会C# 所以写C#来拿数据理论上没有问题但我不会😔
退而求其次本来想走密码爆破系列 但一些文件引起了我的注意
Bin一般存放重要的二进制文件 也是现在我才知道这个网站前端是ASPX 后端是已经编译好的C# DLL
我说怎么找了这么久全是前端文件 二话不说 打开dnspy DLL文件拖进去反编译开始代码审计
虽然我不会C# 但是看看注入点和逻辑还是没问题的
*
在这种情况下,我发现了验证密码的 DLL 文件,并尝试通过将 `flag` 设置为 `true` 来永远返回 true,从而实现了任意密码都被认为是正确的,实际上达到了万能密码的效果。
但是,由于在普通 ASPX 页面上没有修改 DLL 文件的权限,我利用之前提权的过程创建的进程来实现 DLL 文件替换。
命令是我在自己的电脑上测试了很多次才放到目标主机运行 echo y| 是为了出现选项的时候选默认选y 。替换成功之后再打开网页, 随便输入一个密码都可以登录,因为已经把后端的判断登录的逻辑改了 。这个时候,虽然没有拿到数据库, 但可以登录并且遍历出每个人的成绩再进行排序
原文始发于微信公众号(信安404):遥遥领先!经典文件上传getshell提权
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论