记一次对某中学网站渗透测试

近期有一批网站的授权,其中拿到了一个中学网站的部分权限,自己也是第一次搞渗透,虽然这次目标很多,但最终有拿到权限的还是只有这一个网站,getshell 了之后,尝试提权,但目标有360….msf的免杀自己不是很懂,最终就放弃了…

信息收集

目前知道要收集的信息有

  • 子域名:子域名挖掘机,在线子域名爆破-子成君提供
  • 端口:nmap
  • 真实IP:如果目标有CDN的话,目前还没有什么很有效的办法….主要也就不断尝试
  • Web指纹:云悉潮汐指纹、Wappalyzer
  • C段:WebScan
  • 扫描器:AWVS、Nessus
  • 目录信息:dirsearch、7kbscan

目前能收集的信息和主要用到的工具也就这些,感觉工具和方法上都还欠缺一些,信息收集的都不全。其中感觉子域名很重要,因为主站的防御往往比较好,但子站的防御就比较薄弱了。

寻找攻击点

这次也是从子站找到突破口,这个子站是 iis7.5 + mssql + asp,感觉学校网站很多都是这个配置,无奈,自己比较熟悉的LAMP都没有遇到过

在子站下,有这么一个登陆框,随手加了个 ‘ 测试了一下,发现提示

感觉有此处有蹊跷,用户名用 admin' and '1'='1admin' and '1'='2 测试了一下,发现有不同的回显

这里直接上SQLMAP跑了,因为经过测试,这里没有任何过滤,网站也没有 WAF,之前信息收集的时候,找到了目标的网站后台,所以这里我的思路是把后台账户的用户名和密码跑出来,但跑了数据后,我惊了….

一共70张表,我真的找不到用户名账号存哪里了,然后这里又是盲注,数据跑的又比较慢…..一边的数据,一遍尝试其他思路..

最后发现sqlmap可以直接写shell,但要求数据库是DBA权限,查了一下,这里mssql真的是DBA权限,然后还要知道网站的绝对路径,之前在收集目录信息的时候,在输入不存在的目录的时候,IIS会报错,会爆出目标的绝对路径

随意这里直接用sqlmap上传一句话,本以为这样就能拿到webshell了,但是上传后发现,上传的一句话的文件创建了,但内容并没有写入,测试上传txt文件,发现txt文件可以成功上传并写入内容….又无奈了…

后来发现sqlmap可以使用–os-shell来取得shell,尝试之后,拿到了shell,这里尝试使用ren命令,将之前上传的txt文件的后缀由txt改为asp,测试,发现成功修改,然后到这里成功getshell

蚁剑连上后,对目标的其他目录信息进行了探测,发生这台服务器上运行的还不止这一个网站,还有还几个其他学校的网站

尝试提权

因为直接提权接触的都是linux ,对windows一点都不熟悉,然后一顿搜索,就迫不及待的直接在目标上测试了,忘记在本地尝试一下先了。然后payload一运行,目标网站蹦了…webshell就连不上了…GG,游戏到这里就结束了…还好有授权0.0

过了2天,发现网站又复活了,然后由准备上去搞一搞…重新查看了一下目标的进程,发现了一个叫 ZhuDongFangYu.exe 的进程名,一搜索发现是360的进程…看来这里是要绕过360了,尝试了几种方法..绕过无果…游戏到此…

总结

这次没用到什么骚操作…就是让我更熟悉了sqlmap这个工具=.= ,哎,渐渐成为一个脚本小子….

还在另一个高校网站挖到了一个越权和弱口令,也是在子站挖到的,还有一个P2P网站的验证码可以进行短信轰炸,在手机号前面加空格就可以绕过频率限制,但也不是无限发,要间隔4-5秒的样子…不知道这样算不算漏洞

好几个网站看下来,感觉子域名还是最好突破的点,因为主站的防御一般都非常完善…