今天军训,然后晚上有时间看一会儿站,结果我哥们儿接地气来让我去跟他一块日站,其实整个过程我都和女朋友在一块,用手机看的,后来自己用电脑整理了一遍,并且答应诚殷站长发到诚殷。
1)这个站是接地气发出来的一个站,已经有了后台地址以及后台账号密码,我先看一下搭建平台吧。
搭建平台:IIS6.0
那么我们后台上传突破的时候,就会结合iis6.0的解析漏洞来getshell。
2)OK,去找上传点
这里有两个上传点,一个是ewebeditor的,另外一个是网站自带的,这里我们先尝试一下突破网站自带的编辑器。
3)尝试直接上传asp脚本文件
失败,几乎没有网站可以直接上传脚本文件。
4)抓包突破
上传jpg格式的图片,到服务器 之后,服务器会对上传图片进行重新命名。那就使用必杀技吧。
5)00截断
00截断无效,上传结果还是jpg格式文件。看来抓包突破不了了。
根据这几天的经验,一个站点可能有几个不同的上传点,我再找找看,说不定有能突破的。
6)意外发现
发现一个上传软件的地方,然后直接上传asp脚本文件试试,果断失败了。再抓包试试吧。
哈哈,00截断成功了。
访问一下看看有没有解析。
完美,嘿嘿,菜刀链接吧。
【提权】
1)上传aspx大马
菜刀提权实在是太慢了,我输入whoami查询了5分钟,果断上传一个大马,直接上传一个aspx的吧,aspx的权限比较大一些,如果不支持aspx再上传asp
完美解析。
2)试试能否执行cmd。
阔以。
3)whoami
4)查看补丁情况
这里注意两个点:a.服务器版本2003x86 就是32位系统
b.服务器补丁:600多个,只能碰运气了,试试pr吧。
5)exp之pr提权
好吧,的确是内网,内网转发一下就可以链接了,这里我演示了,还要去军训。
【总结】
1.上传点都要试试:
因为这次是大兄弟何所求在演示了,我整理的,当时虽然我提议何所求看看其他上传点,当他点开上传软件的时候,我看界面和上传图片的一样,就认为不可突破,如果是我,就不去尝试上传软件的上传点了,这里学习到了:所有上传点(编辑器的除外)都要试试抓包截断。
2.关于ip地址:
有的内网ip是172开头的,或许以后遇见更奇葩的,以后ipconfig里面显示的ip先用ping命令去看看能否连通,这样可以节约时间。