记录一次模拟渗透

前言

今天还模拟了一次真实的挖洞过程,今天这网站一共有三个漏洞(都是要经过提醒才能弄出来),因为是搭的环境,简单记录一下思路,顺便当个回顾,源码啥的都没有了,耍完就要求删掉了。

正文

这台服务器有个前提就是跟我们一个网段的服务器,并且开了IIS服务,但是前提我们是不知道他的ip的,这个时候我们需要用一下nmap来扫一下同一网段下的ip

1
nmap -sP -PI -PT 192.168.1.0/24

记得当时出现了三个ip地址,再使用nmap去扫描各个ip的端口,命令是namp 你锁定的ip地址

发现中间的第二个ip是有开IIS服务的,但是也开了其他端口的服务,这时候我们需要注意的是目标不要仅仅盯着IIS这个服务端口,我们也需要把其他不是常用端口都是尝试一遍,其中一些常见的端口要知道,常开的我们就可以选择性忽略,比如3306可以远程连接数据库,3389远程连接,445端口永恒之蓝的端口等等,遇到这些端口先记着,因为我们前提是不准使用msf打,毕竟我们练的是网站渗透的思路。所以还是回来网站的渗透思路上吧。

当时尝试到其中的8888端口的时候,就出现了一个网站,随便点两下,发现是一个asp的网站,这点很重要,不然到后期的时候上传木马的时候传了个php的小马就很搞笑了。

首先先扫描一波目录,这里我用的是一款很经典的扫描工具御剑,其实github上还有很多类似的扫描工具,就不多说了,扫到了一个类似源码的压缩包,这在正常情况下是很大的漏洞了,打开源码第一件事情先要去找配置文件,数据库配置文件之类的,由于这里用的是Access数据库,而Access数据库使用的是文件存储,在里面我们可以很轻易地找到后台登录管理员账号密码,只不过密码需要解密一下,此时也扫到了后台了登录页面,先登录一波,这时候我的思路先点一下查看一下是否有上传的地方,发现有图片上传的地方,因为源码已经得到了,我就去看源码关于上传这一部分的代码,这里面我审计出来可以用cer去改后缀名上传去执行,这里我们还需要注意下常见的除了asp,aspx可以执行以外,还有cgi,cer之类的后缀名可以尝试上传一下,最后上传之后就获得了网站的全权限了。

第二个漏洞是在某一个二级域名下存在的SQL注入漏洞,用的and 1=1还有and1=2测出来的,服务器返回了500作为盲注的回显点,参考了这篇文章:https://blog.csdn.net/u011781521/article/details/53942183, Access数据库的注入比较麻烦,我尝试出来是一个盲注,但是Access盲注在后期的表名全靠猜,字典里面没有就GG了。后面也是获得后台登录的密码。回到前面的步骤去getshell了。

第三个漏洞是一个XSS漏洞,这里也是别人提醒我才会用这种骚操作去得到管理员的cookie然后登陆后台,当时教我用xss平台去实现这一过程,在一个填写简历的的表单里面去实现,测试发现最大的两个文本框已经是编码实例化了,过滤了一大堆东西,就不可以利用了,问题是在上面填写学历还有姓名之类的地方存在xss,这里不得不赞一波这个xss平台,能将一大段js代码,变成一个短链接,缩小了代码量,别人就会更大的机会去点击,这里还学到的就是xss在点击查看源码的时候应该是要查看框架的源码,有时候可能直接右键看源码看到的是其他div的代码了,就看不清楚xss是否起了作用,而且这里的文本框限制了大小我们可以用Bp去实现发包实现,但是我查看源码发现缺了一段,原因就是Access里面限制了大小,那这个时候我们可以这样去绕过,注释符是一个好东西,分别在两个文本框里面填入/**/,就例如在姓名里面填入<script>alert(1)/*在学历的框里面填入*/</script>这样测试就很OK,右键查看源码就可以发现在/**/里面就很多其他代码,但是就相当于注释掉了,刚好把两个框里面的代码拼在一起了,只是例举了一个反射型xss。这样就可以返回你的xss平台看你打的结果。然后就可以把cookie获得最好的方法就是直接在浏览器里面改变你需要的cookie,不然的话尝试一下用bp发包每一次都是需要改一次cookie的,因为页面的每一部分功能打开都是需要重新使用cookie,而本地保存的又不是你xss打回来的cookie,因此需要修改多次cookie,而最好的解决方法就是直接修改浏览器本地保存的cookie就好。登录后台又回到上传漏洞去了,233333。

结语

全文字,没有图片,终于把今天的思路回想了一遍。。。。


听说,打赏我的人最后都成了大佬。



文章目录
  1. 1. 前言
  2. 2. 正文
  3. 3. 结语