0x00

hw中分到一個目標，目標的站點只有幾個，其中有一個asp的站點看起來好打一點。那么我們就盤他一下。

網站就長這樣，看著就很好搞。。。

只有一個登錄框那就簡單的爆破一下吧，但是有驗證碼就很煩。也沒想那么多就先試試admin/123456吧，很好。

手動嘗試不行那就只能上工具識別驗證碼進行爆破了，剛準備抓包的時候瞄了一眼驗證碼的獲取接口，一陣無語。這老哥直接Set-Cookie了。。。

復制粘貼一下驗證碼進行登錄。

直接扔repeater里面重放，不得不說開發老哥太貼心了。

同理嘗試小試了一點驗證邏輯，果然。。。6

驗證碼廢了，那就繼續看看密碼，由于是加密的，所以先找找加密算法。關鍵字一搜，很好找。

由于是對稱性加密每次加密的結果都是固定的，就不再把加密實現一遍了（就是懶），直接上常用賬戶名組合上加密后的123456開始爆破，但是很不幸運，拉了。

后面組合了一下賬號密碼，用js把密碼加密了再進行爆破，再后來上了萬能密碼，100w字典，反正沒懟出來，

0x01

回到正軌，既然這個系統不行，那我們就換個一懟，生成一下icon_hash，用fofa找到了154個。

使用前面相同的辦法進行爆破，很好，浪費大半天時間一個都沒懟進去。。。（MD太坑爹了，后面說）

俗話說“上帝為你關一扇門。。。“，咱直接翻窗子。

通過目錄掃描，在不知道第幾個站上發現一個“1.zip”。

解壓出來發現是源碼，簡單看一看，發現了一個upload接口，而且是非常純潔的上傳。

不像其他接口還獲取一下cookies這些亂七八糟的。

這里給這系統的開發老哥和這站的運維老哥點個贊。

0x02

后面就是有手就行，構造一下需要的folder參數，直接上傳webshell就上去了，然后使用同樣的手法拿下了目標站，直接把webshell扔給大哥們，結束。

0x03

當然不能這么簡單的結束了，我倒要看看是什么密碼，讓我爆了半天沒報出來。

首先找到數據庫配置文件，加密的。。。

找了找數據庫連接代碼，結果C#嘛，只有一行代碼。。。

沒辦法，只能看dll了。

通過反編譯dll，發現了數據庫的連接方式和解密代碼。

跟進解密代碼，發現是DES加密，解密的話需要密鑰（key）和偏移量（iv）。

在代碼定義變量的地方找到了明文的key和iv參數值。

通過在線網站http://tool.chacuo.net/cryptdes，進行解密，但是沒有解出來。

又看了看代碼，發現key和iv賦值前調用了Get8Byte函數，用0補齊了8位。

把偏移量拼上一個0后成功解密。

配置數據庫連接信息，成功連接。

找到用戶表，看了看，啥Adminrs?systemrs?我字典里沒有啊。倒是下面的用戶名看起來很簡單，但是我為啥沒爆出來呢。

把加密后的密碼扔到cmd5進行解密。

。。。。。。

我試了一下空口令，直接登進去了，離譜離譜離譜

最后查了一下管理員的密碼，是他們公司的聯系電話。

但是那倆管理用戶名我的字典里確實沒有，而且也沒想到用他們公司聯系方式去當密碼爆破。

之前也遇到過公司簡稱@年份、公司主域名這種的密碼但是這次都沒去嘗試。