一次簡單又詳細的滲透測試

0*00前言

最近狀態很不好，心態煩躁，感覺有點噁心。

可能精神有點毛病。

何以解憂，唯有日站~

目標站點：某市中學。

0*01 信息收集

在這推薦一個火狐的插件，wappalyzer 可以很方便的識別伺服器系統，web容器，與及js框架。

伺服器採用了win2003 與及iis6.0的搭配，老司機可以很快的看出伺服器版本，iis6.0一般都與2003組cp。

再來掃一波埠。

初步識別一下，可以發現伺服器存在以下服務

23：telnet服務

80：web

8080：估計也是web

3389：遠程登陸

首先去8080埠看看

nbr路由器 內網有戲 估計是一個獨立的伺服器 在學校機房內

識別一下cms

雲識別不了

本地指紋也沒有。

最後一步目錄掃描一下

挺多有意思的東西。

0*02 威脅建模

23埠：可以爆破

3389：也可以結合社工來爆破

8080：路由器0day

從目錄掃描的結果來看，似乎這個站搞下來不會很難，畢竟似乎存在webeditor這類型目錄。

首先谷歌了一波路由器0day，然後運氣太好，用了一些弱口令進去了，懷著滿心歡喜點了進去。

是的，你沒看錯居然是空的，所有的配置都是空的，似乎就只有一個框架，內心真是...

然後我嘗試了一下telnet的爆破與及3389的爆破 然後就被bang了ip 估計存在360 安全狗之類的xx

既然系統層次沒辦法，還是得從web入手。

先看看掃出來的幾個敏感目錄

robot.txt

在這吐槽一下

我發現別人一個中學的網站做的功能完整度比某些大學做的還好~

看著這麼多的管理系統，內心儘是歡喜，畢竟系統多了，出錯的概率才會增多，入侵才會變得有意思。

測試了一番發現

所有掃出來的目錄 都是沒有許可權 大驚喜

測試了一下XSS 偶遇了一個小驚喜 爆出了絕對路徑

訪問了一下後台 與及其他的管理系統 並沒有發現任何註冊頁面，反而所有的功能都需要經過此類認真，

站點沒有做httponly 似乎可以挖掘xss 不過我對於xss實在不是很了解，就放棄了這個念頭

似乎到了這裡便是死路了，然而，在我溜了一圈web結構之後，發現了注入。

伺服器環境如我們之前所說的一樣。

0*03滲透階段

首先

心想這一大堆登陸驗證 有了注入還不得上天，還是最高的許可權，脫庫脫到飛起，然而現實總是那麼噁心。

200張表...

我找遍了跟user有關的 admin有關的 終於找到了 n多學號 解MD5 去

登陸 本以為這樣總能進去了。

然而

登不進去。我內心一百萬隻羊駝崩騰...

吸了口奶冷靜了下

似乎知道了網站的絕對路徑與及是root許可權，dba許可權就可以寫shell了啊

sqlmap.py -u xxxx.com --os-shell

本以為會可以寫進去文件 然後

兩條警告絕了我的後路，說實話，我到現在依然不知道究竟sqlmap的寫文件需要怎麼樣的條件，明明許可權都是最高的，可能需要的是系統許可權。

看下當前shell的系統許可權

看來寫不進去是正常的。

又喝了瓶奶，突然想起我是資料庫的最高許可權，能不能用sql語句寫shell

ok 木馬丟了進去

結局依然是那麼扎心 瀏覽器訪問一下

沒有出錯 的確是存在的 那就是菜刀的問題了 換了三個版本的菜刀 還是不行 真是 日了xx

然後在第四個終於成了

發現這個菜刀居然沒有shell功能...

丟個大馬看看

ok 沒有上傳許可權 傳不上去我內心也算是波瀾不驚了

然後在我找了他這個cms的存放用戶數據的文件夾後，終於在那上傳成功

熟悉的大馬

讀取配置文件

找到mysql的root密碼 嘗試UDF提權

提升許可權

遠程登陸發現

我們需要刪掉一些賬號

再重新登陸

的確存在360

上w條賬號密碼...

內網掃了一下 大都開著445 估計 ms17010能直接打穿 不知為何沒有找到攝像頭

清楚痕迹 上報管理員後走人。

如需文中所用工具等

關注公眾號，回復「工具」即可

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！