准备好环境,用 vmware 打开,密码为 admin123.
端口扫描#
默认开了防火墙,禁 ping 扫描
需要留意的端口,数据库端口 1433 和 web 端口 27689.
web 应用#
访问 27689 端口,界面如下:
尝试弱口令无果。
目录扫描#
使用御剑进行目录扫描
robots.txt 文件
找到个备份文件 web.config.bak,下载下来瞧瞧,从文件中找到了数据库帐号密码。
数据库连接#
根据前面的端口信息,目标开启了 1433 端口,利用 navicat 进行连接
在数据库中找到了一个 key
找找网站后台密码
后台登录#
通过帐号密码登录后台,登录后,找到了一个 key。
后台有文件上传的功能
随意访问一个已上传的文件,会出现报错信息,有路径显示
D:\web\upfile\affix\
文件上传#
随意上传一个正常的图片文件。
上图可以看到编号 44 的图片有个文件说明。
注意:文件名过长会被系统截取包括系统时间在内的前 32 位字符作为文件名,请上传的文件名称不要过长,为您带来的不便,敬请谅解。
可以通过系统的截取功能把上传文件的 jpg 后缀截取掉,不需要 jpg 后缀,通过上述提示可知,32 位就会开始截取,截取 32 位内容
文件名称的格式为18位数字+-+图片名称+图片后缀,需要上传.aspx 格式,那么除了图片名称,这里有 24 位,还差 8 位,意思图片名称需要 8 位即可。
准备如下文件:
上传后的文件如下:
webshell 连接#
根据网站路径拼接 webshell url
D:\web\upfile\affix\
http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx
查看当前用户权限为普通用户权限。
同时在网站 web 目录下可以找到第二个 key
最后一个 key 在管理员目录下的桌面上,但此时我们没有权限访问此目录下的内容。
数据库连接 sa 获取 key#
继续翻找网站的配置文件,找到D:/web/web.config.bak.2017-12-12文件存在数据库 sa 的帐号。
通过 sa 帐号登录数据库,然后通过 xp_cmdshell 不就可以查看文件了?
use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'
得到最后一个 key
环境链接#
链接:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
提取码:6666