一次简单又详细的渗透测试

0*00前言

最近状态很不好，心态烦躁，感觉有点恶心。

可能精神有点毛病。

何以解忧，唯有日站~

目标站点：某市中学。

0*01 信息收集

在这推荐一个火狐的插件，wappalyzer 可以很方便的识别服务器系统，web容器，与及js框架。

服务器采用了win2003 与及iis6.0的搭配，老司机可以很快的看出服务器版本，iis6.0一般都与2003组cp。

再来扫一波端口。

初步识别一下，可以发现服务器存在以下服务

23：telnet服务

80：web

8080：估计也是web

3389：远程登陆

首先去8080端口看看

nbr路由器 内网有戏 估计是一个独立的服务器 在学校机房内

识别一下cms

云识别不了

本地指纹也没有。

最后一步目录扫描一下

挺多有意思的东西。

0*02 威胁建模

23端口：可以爆破

3389：也可以结合社工来爆破

8080：路由器0day

从目录扫描的结果来看，似乎这个站搞下来不会很难，毕竟似乎存在webeditor这类型目录。

首先谷歌了一波路由器0day，然后运气太好，用了一些弱口令进去了，怀着满心欢喜点了进去。

是的，你没看错居然是空的，所有的配置都是空的，似乎就只有一个框架，内心真是...

然后我尝试了一下telnet的爆破与及3389的爆破 然后就被bang了ip 估计存在360 安全狗之类的xx

既然系统层次没办法，还是得从web入手。

先看看扫出来的几个敏感目录

robot.txt

在这吐槽一下

我发现别人一个中学的网站做的功能完整度比某些大学做的还好~

看着这么多的管理系统，内心尽是欢喜，毕竟系统多了，出错的概率才会增多，入侵才会变得有意思。

测试了一番发现

所有扫出来的目录 都是没有权限 大惊喜

测试了一下XSS 偶遇了一个小惊喜 爆出了绝对路径

访问了一下后台 与及其他的管理系统 并没有发现任何注册页面，反而所有的功能都需要经过此类认真，

站点没有做httponly 似乎可以挖掘xss 不过我对于xss实在不是很了解，就放弃了这个念头

似乎到了这里便是死路了，然而，在我溜了一圈web结构之后，发现了注入。

服务器环境如我们之前所说的一样。

0*03渗透阶段

首先

心想这一大堆登陆验证 有了注入还不得上天，还是最高的权限，脱库脱到飞起，然而现实总是那么恶心。

200张表...

我找遍了跟user有关的 admin有关的 终于找到了 n多学号 解MD5 去

登陆 本以为这样总能进去了。

然而

登不进去。我内心一百万只羊驼崩腾...

吸了口奶冷静了下

似乎知道了网站的绝对路径与及是root权限，dba权限就可以写shell了啊

sqlmap.py -u xxxx.com --os-shell

本以为会可以写进去文件 然后

两条警告绝了我的后路，说实话，我到现在依然不知道究竟sqlmap的写文件需要怎么样的条件，明明权限都是最高的，可能需要的是系统权限。

看下当前shell的系统权限

看来写不进去是正常的。

又喝了瓶奶，突然想起我是数据库的最高权限，能不能用sql语句写shell

ok 木马丢了进去

结局依然是那么扎心 浏览器访问一下

没有出错 的确是存在的 那就是菜刀的问题了 换了三个版本的菜刀 还是不行 真是 日了xx

然后在第四个终于成了

发现这个菜刀居然没有shell功能...

丢个大马看看

ok 没有上传权限 传不上去我内心也算是波澜不惊了

然后在我找了他这个cms的存放用户数据的文件夹后，终于在那上传成功

熟悉的大马

读取配置文件

找到mysql的root密码 尝试UDF提权

提升权限

远程登陆发现

我们需要删掉一些账号

再重新登陆

的确存在360

上w条账号密码...

内网扫了一下 大都开着445 估计 ms17010能直接打穿 不知为何没有找到摄像头

清楚痕迹 上报管理员后走人。

如需文中所用工具等

关注公众号，回复“工具”即可