banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

pte-實戰 一道綜合題

準備好環境,用 vmware 打開,密碼為 admin123。

端口掃描#

默認開了防火牆,禁 ping 掃描

image

需要留意的端口,數據庫端口 1433 和 web 端口 27689。

web 應用#

訪問 27689 端口,界面如下:

image

嘗試弱口令無果。

目錄掃描#

使用御劍進行目錄掃描

robots.txt 文件

image

找到個備份文件 web.config.bak,下載下來瞧瞧,從文件中找到了數據庫帳號密碼。

image

數據庫連接#

根據前面的端口信息,目標開啟了 1433 端口,利用 navicat 進行連接

image

在數據庫中找到了一個 key

image

找找網站後台密碼

image.png

後台登錄#

通過帳號密碼登錄後台,登錄後,找到了一個 key。

image.png

後台有文件上傳的功能

image.png

隨意訪問一個已上傳的文件,會出現報錯信息,有路徑顯示

image.png

D:\web\upfile\affix\

文件上傳#

隨意上傳一個正常的圖片文件。

image.png

上圖可以看到編號 44 的圖片有個文件說明。

注意:文件名過長會被系統截取包括系統時間在內的前 32 位字符作為文件名,請上傳的文件名稱不要過長,為您帶來的不便,敬請諒解。

可以通過系統的截取功能把上傳文件的 jpg 後綴截取掉,不需要 jpg 後綴,通過上述提示可知,32 位就會開始截取,截取 32 位內容

文件名稱的格式為18位數字+-+圖片名稱+圖片後綴,需要上傳.aspx 格式,那麼除了圖片名稱,這裡有 24 位,還差 8 位,意思圖片名稱需要 8 位即可。

準備如下文件:

image.png

上傳後的文件如下:

image.png

webshell 連接#

根據網站路徑拼接 webshell url

D:\web\upfile\affix\

http://192.168.10.22:27689/upfile/affix/638252986630625000-88888888.aspx

image.png

查看當前用戶權限為普通用戶權限。

image.png

同時在網站 web 目錄下可以找到第二個 key

image.png

最後一個 key 在管理員目錄下的桌面上,但此時我們沒有權限訪問此目錄下的內容。

image.png

數據庫連接 sa 獲取 key#

繼續翻找網站的配置文件,找到D:/web/web.config.bak.2017-12-12文件存在數據庫 sa 的帳號。

image.png

通過 sa 帳號登錄數據庫,然後通過 xp_cmdshell 不就可以查看文件了?

use master;
exec master..xp_cmdshell 'dir "c:\Documents and Settings\Administrator\桌面\"'

image.png

得到最後一個 key

image.png

環境連結#

連結:https://pan.baidu.com/s/140cLWvmzs0CauuA_JOro5A
提取碼:6666

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。