準備好環境,用 vmware 打開,密碼為 admin123。
端口掃描#
默認開了防火牆,禁 ping 掃描
需要留意的端口,數據庫端口 1433 和 web 端口 27689.
web 應用#
訪問 27689 端口,界面如下:
嘗試弱口令無果。
目錄掃描#
使用御劍進行目錄掃描
robots.txt 文件
找到個備份文件 web.config.bak,下載下來瞧瞧,從文件中找到了數據庫帳號密碼。
數據庫連接#
根據前面的端口信息,目標開啟了 1433 端口,利用 navicat 進行連接
在數據庫中找到了一個 key
找找網站後台密碼
後台登錄#
通過帳號密碼登錄後台,登錄後,找到了一個 key。
後台有文件上傳的功能
隨意訪問一個已上傳的文件,會出現報錯信息,有路徑顯示
D:\web\upfile\affix\
文件上傳#
隨意上傳一個正常的圖片文件。
上圖可以看到編號 44 的圖片有個文件說明。
注意:文件名過長會被系統截取包括系統時間在內的前 32 位字符作為文件名,請上傳的文件名稱不要過長,為您帶來的不便,敬請諒解。
可以通過系統的截取功能把上傳文件的 jpg 後綴截取掉,不需要 jpg 後綴,通過上述提示可知,32 位就會開始截取,截取 32 位內容
文件名稱的格式為18位數字
+-
+圖片名稱
+圖片後綴
,需要上傳.aspx 格式,那麼除了圖片名稱,這裡有 24 位,還差 8 位,意思圖片名稱需要 8 位即可。
準備如下文件:
上傳後的文件如下:
webshell 連接#
根據網站路徑拼接 webshell url
D:\web\upfile\affix\
http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx
查看當前用戶權限為普通用戶權限。
同時在網站 web 目錄下可以找到第二個 key
最後一個 key 在管理員目錄下的桌面上,但此時我們沒有權限訪問此目錄下的內容。
數據庫連接 sa 獲取 key#
繼續翻找網站的配置文件,找到D:/web/web.config.bak.2017-12-12
文件存在數據庫 sa 的帳號。
通過 sa 帳號登錄數據庫,然後通過 xp_cmdshell 不就可以查看文件了?
use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'
得到最後一個 key
環境連結#
連結:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
提取碼:6666