首页 > 实战入侵 > 对www.lanxxx.com的实战入侵

对www.lanxxx.com的实战入侵

2015年3月12日 发表评论 阅读评论

说明

本次渗透入侵仅以发现问题为主,未做任何破坏性行为
为了保证目标站点的信息安全,图片中已经打码,以下目标URL用www.lanxxxx.com代替

获取信息

我使用BugScan对目标站进行了扫描,发现了一个因为IIS配置失误而导致的目录遍历,于是以此作为主要切入点做信息收集


在主站上看了半天,除了一部分页面的未授权访问以外,没找到任何比较有利的信息
在查看主站源代码的时候发现一个分站


得到两个子域名

实施入侵

打开mobile.lanxxx.com发现和主站返回的一模一样,故只能去看help这个子站了
子站是一个知识库,没有找到后台等信息,倒是有个新增和更新


点击新增,没想到居然不需要权限直接就可以编辑,也是醉了···

在上传图片的时候选择浏览服务器会打开一个新窗口,发现该编辑器是CKfinder
在网上查找相关漏洞,得知该编辑器再上传的时候不会更改文件名,仅吧文件名中多余的.用_替换
当时想着可以利用IIS 6.0的解析漏洞直接拿到Shell,可是很无奈死活上传上去的文件名给换的无法执行,甚是蛋疼
最后无意在文件夹这里右键,发现可以新建文件夹,于是新建了一个1.asp的文件夹,再配合IIS 6.0解析漏洞,一气呵成,顺利撸下Shell


成功拿下WebShell:http://help.lanxxxx.com/upload/files/1.asp/1.txt



然后接下来就想着提权的问题,在这个地方卡了近1小时····后来真想抽自己一巴掌
这个机器只有一个C盘,翻了很多东西都没用,然后猛然想起可以找到他的数据库配置,说不定可以从数据提起来
功夫不负有心人,总算是找到数据库配置了,还是sa权限,目测有戏


目标数据库是Microsoft SQL Server,很容易提前的,一番配置之后,直接执行命令


数据库很争气啊,十分给力的返回了nt authority\system

查了一下IP地址,发现是内网的,于是也就没有再做深入….

总结

这次入侵主要还是通过子站点的未授权访问和CKfinder编辑器的任意文件上传漏洞配合IIS 6.0的解析漏洞拿下的Shell
提权部分没有啥技术含量,不表
小菜作此文仅仅是把自己的一些想法记录下来,大牛轻喷^_^

其他说明

如需转载烦请注明出处
来自于LinE's Blog
From: http://blog.l1n3.net
谢谢~~

分类: 实战入侵 标签: , ,
  1. 2015年6月23日14:37 | #1

    这种情况应该直接干内网的。。

  2. ccrk
    2016年5月12日08:52 | #3

    – – 现在还在搞破坏么?

  1. 本文目前尚无任何 trackbacks 和 pingbacks.