準備が整いましたら、vmware を開き、パスワードは admin123 です。
ポートスキャン#
デフォルトではファイアウォールが有効になっており、ping スキャンは禁止されています。
注意が必要なポートは、データベースポート 1433 と Web ポート 27689 です。
Web アプリケーション#
ポート 27689 にアクセスすると、以下のような画面が表示されます。
弱いパスワードを試しても成功しませんでした。
ディレクトリスキャン#
御剣を使用してディレクトリスキャンを実行します。
robots.txt ファイル
web.config.bak というバックアップファイルを見つけ、ダウンロードして中身を確認しました。ファイルからデータベースのアカウントとパスワードを見つけました。
データベース接続#
前述のポート情報に基づいて、ターゲットはポート 1433 を開いています。navicat を使用して接続します。
データベース内でキーを見つけました。
ウェブサイトのバックエンドパスワードを探します。
バックエンドログイン#
アカウントとパスワードでバックエンドにログインすると、キーを見つけました。
バックエンドにはファイルのアップロード機能があります。
アップロードされたファイルにランダムにアクセスすると、エラーメッセージとパスが表示されます。
D:\web\upfile\affix\
ファイルのアップロード#
正常な画像ファイルをランダムにアップロードします。
上の画像から、番号 44 の画像にファイルの説明があることがわかります。
注意:ファイル名が長すぎる場合、システムはファイル名としてシステムの時間を含む 32 文字を切り取ります。ファイル名を長くしないでください。ご不便をおかけしまして申し訳ありません。
システムの切り取り機能を使用して、アップロードしたファイルの拡張子.jpg を切り取ります。jpg の拡張子は不要です。上記のヒントから、32 文字で切り取られることがわかります。
ファイル名の形式は、18桁の数字+-+画像名+画像の拡張子です。.aspx 形式をアップロードする必要があるため、画像名以外の部分は 24 桁あります。残り 8 桁が必要なので、画像名には 8 桁必要です。
以下のファイルを準備します。
アップロード後のファイルは次のようになります。
Web シェル接続#
ウェブサイトのパスに基づいて、Web シェルの URL を組み立てます。
D:\web\upfile\affix\
http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx
現在のユーザーの権限は一般ユーザーです。
同時に、ウェブサイトの Web ディレクトリには 2 番目のキーが見つかります。
最後のキーは、管理者ディレクトリのデスクトップにありますが、現時点ではこのディレクトリの内容にアクセスする権限がありません。
データベース接続 sa でキーを取得#
ウェブサイトの設定ファイルを引き続き検索し、D:/web/web.config.bak.2017-12-12ファイルにデータベースの sa アカウントが存在することがわかりました。
sa アカウントを使用してデータベースにログインし、xp_cmdshell を使用してファイルを表示できるはずです。
use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'
最後のキーを取得しました。
環境リンク#
リンク:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
パスワード:6666