準備が整いましたら、vmware を開き、パスワードは admin123 です。
ポートスキャン#
デフォルトではファイアウォールが有効になっており、ping スキャンは禁止されています。
注意が必要なポートは、データベースポート 1433 と Web ポート 27689 です。
Web アプリケーション#
ポート 27689 にアクセスすると、以下のような画面が表示されます:
弱いパスワードを試しても成功しませんでした。
ディレクトリスキャン#
御剣を使用してディレクトリスキャンを行います。
robots.txt ファイル
バックアップファイル web.config.bak を見つけてダウンロードし、ファイルからデータベースのアカウントとパスワードを見つけました。
データベース接続#
前述のポート情報に基づいて、ターゲットはポート 1433 を開いています。navicat を使用して接続します。
データベースでキーを見つけました。
ウェブサイトのバックエンドパスワードを探します。
バックエンドログイン#
アカウントとパスワードを使用してバックエンドにログインすると、キーを見つけました。
バックエンドにはファイルのアップロード機能があります。
アップロードされたファイルにランダムにアクセスすると、エラーメッセージが表示され、パスが表示されます。
D:\web\upfile\affix\
ファイルのアップロード#
ランダムな正常な画像ファイルをアップロードします。
上の画像から、番号 44 の画像にファイルの説明があることがわかります。
注意:ファイル名が長すぎる場合、システムはファイル名としてシステムの時刻を含む 32 文字を切り取ります。長すぎるファイル名をアップロードしないでください。ご不便をおかけし申し訳ありません。
システムの切り取り機能を使用して、アップロードファイルの拡張子 jpg を切り取ります。jpg の拡張子は不要です。上記のヒントから、32 文字で切り取りが始まることがわかります。
ファイル名の形式は18桁の数字+-+画像名+画像の拡張子です。.aspx 形式をアップロードする必要があるため、画像名以外に 24 桁が必要です。残り 8 桁が必要です。つまり、画像名には 8 桁必要です。
以下のファイルを準備します:
アップロード後のファイルは次のようになります:
Web シェル接続#
ウェブサイトのパスに基づいて、Web シェルの URL を組み立てます。
D:\web\upfile\affix\
http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx
現在のユーザーの権限は一般ユーザーです。
同時に、ウェブサイトの Web ディレクトリに 2 番目のキーが見つかります。
最後のキーは、管理者ディレクトリのデスクトップにありますが、現時点ではこのディレクトリの内容にアクセスする権限がありません。
データベース接続 sa でキーを取得#
ウェブサイトの設定ファイルを引き続き検索し、D:/web/web.config.bak.2017-12-12ファイルにデータベースの sa アカウントが存在することがわかりました。
sa アカウントを使用してデータベースにログインし、xp_cmdshell を使用してファイルを表示できます。
use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'
最後のキーを取得しました。
環境リンク#
リンク:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
パスワード:6666