目标:http://www.xxx.edu.cn/

一个大学有着很庞大的数据,以及十分明细的部门分工,并且主站一般都是做的很严谨,所以可以选择直接从分站入手,由于分站数量过多,安全自然也就显得乏力了。

翻出layer子域名挖掘机

1

轻松翻出一大堆的子域名

Awvs果然是神器,很快便报出一个红色高危漏洞

Apache Tomcat样例目录session操纵漏洞

http://xxx.xxxx.edu.cn//examples/servlets/servlet/SessionExample

2

利用方法:

在name框里输入login(登陆文件名)

在value框里输入admin(管理员名)

点击提交,当我们再去访问登陆页面便可以直接登陆。

但是这个站并没有后台管理这一说,且登陆进去也没什么太大作用。

继续寻找

很快便又找到一个站点:

http://xxxx.xxx.edu.cn/asp/view.asp?id=454’ http://xxxx.xxx.edu.cn/asp/view.asp?id=454 and 1=1

简单手工测试一下

3

防注入,尝试将注入语句换成大写后页面显示正常。。

Oeder by 一下发现字段数为13 但是发现大写的SELECT被拦截了。。

又加入/**/分割了一下select。。成功绕过。。

蛋疼的是access表名猜解不出,顿时就尴尬了。一顿折腾无果,于是放弃。

虽然神器御剑也给我报了个好消息:

4

 

但是后台没扫出来也好似没什么卵用

继续翻子域名

此时发现某站下面有个邮[email protected]

丢进社工库里一查  就进去了。。

然而对于日站依旧没什么帮助不过其他敏感的信息倒是挺多。。只是不敢贴图发出来。。

 

没多久,有一个注入发现了

http://xxxx.xxx.edu.cn/news1.asp?id=798 http://xxxx.xxx.edu.cn/news1.asp?id=798

简单手工发下你依旧有防注入,但是不碍事,大写依旧绕过。

值得一提的是  这个防注入把username和password也拦截了。。没办法 将username换成hex格式成功爆出密码:

5

(箭头指的地方后期还原出错,账号密码为admin 86413750)

6

后台功能十分简单,依旧没戏。。

且御剑也扫出来了编辑器http://xxxxx.xxx.edu.cn/ewebeditor/admin_style.asp?action=styleset&id=46

但是数据库只读,也就没做挣扎了。

继续翻,又翻出了一个站的.sql备份,虽然搞到账号密码,但是无法解开。

———————————————————分割线

接着又打开了一个分站,

8

看到上传点,心理就舒坦了一半,接着随意传了一个马

任意上传。。直接拿下,且:

9

这需要何等的人品!!!!难怪之前一直都拿不下一个,人品都积攒到了这里?!

既然拿下了一台,在面对足足一百多个分站,底气也就更足了。

紧接着,又翻到一个站有注入点

http://xxx.xxx.edu.cn/zhaopin.asp?ClassID=29

丢进sqlmap却跑不出数据,心灰失望之时,御剑扫出来的东西让我觉得十分眼熟:

21

一股动易的气息扑面而来,想起动易的一个注册会员0day

11

果断注册,然而发现并不能利用。无奈之下又试了明小子的动网上传漏洞,也是不行。

就此陷入了长长的沉思。随手点开了会员中心界面:

12

一眼望去全是上传,于是就打开burp试试上传截断。。

居然成功了。。。成功了。。。。成功了!!

这到底是什么鬼cms

Shell到手后尝试提权

 

shell组件没被禁止

找到可写目录传个cmdC:\Inetpub\cmd.exe

13

Windows2003 ,116个补丁

14

Tasklist一下发现有百度杀毒传上去的pr被杀了

 

PR现场做了加壳,直接你懂的。

 

16

 

System拿到 

至此渗透暂时停止 ,仍旧有一部分没有测试,但是这些已经足够分量了。