banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

pte-实战 一道综合题

准备好环境,用 vmware 打开,密码为 admin123.

端口扫描#

默认开了防火墙,禁 ping 扫描

image

需要留意的端口,数据库端口 1433 和 web 端口 27689.

web 应用#

访问 27689 端口,界面如下:

image

尝试弱口令无果。

目录扫描#

使用御剑进行目录扫描

robots.txt 文件

image

找到个备份文件 web.config.bak,下载下来瞧瞧,从文件中找到了数据库帐号密码。

image

数据库连接#

根据前面的端口信息,目标开启了 1433 端口,利用 navicat 进行连接

image

在数据库中找到了一个 key

image

找找网站后台密码

image.png

后台登录#

通过帐号密码登录后台,登录后,找到了一个 key。

image.png

后台有文件上传的功能

image.png

随意访问一个已上传的文件,会出现报错信息,有路径显示

image.png

D:\web\upfile\affix\

文件上传#

随意上传一个正常的图片文件。

image.png

上图可以看到编号 44 的图片有个文件说明。

注意:文件名过长会被系统截取包括系统时间在内的前 32 位字符作为文件名,请上传的文件名称不要过长,为您带来的不便,敬请谅解。

可以通过系统的截取功能把上传文件的 jpg 后缀截取掉,不需要 jpg 后缀,通过上述提示可知,32 位就会开始截取,截取 32 位内容

文件名称的格式为18位数字+-+图片名称+图片后缀,需要上传.aspx 格式,那么除了图片名称,这里有 24 位,还差 8 位,意思图片名称需要 8 位即可。

准备如下文件:

image.png

上传后的文件如下:

image.png

webshell 连接#

根据网站路径拼接 webshell url

D:\web\upfile\affix\

http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx

image.png

查看当前用户权限为普通用户权限。

image.png

同时在网站 web 目录下可以找到第二个 key

image.png

最后一个 key 在管理员目录下的桌面上,但此时我们没有权限访问此目录下的内容。

image.png

数据库连接 sa 获取 key#

继续翻找网站的配置文件,找到D:/web/web.config.bak.2017-12-12文件存在数据库 sa 的帐号。

image.png

通过 sa 帐号登录数据库,然后通过 xp_cmdshell 不就可以查看文件了?

use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'

image.png

得到最后一个 key

image.png

环境链接#

链接:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
提取码:6666

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。