[【通过】] 记一次对学校的渗透

[复制链接]
蔡小哥 发表于 2016-6-13 22:54:21 | 显示全部楼层 |阅读模式

正式成员|主题 |帖子 |积分 18

学渗透有一段时间了,之前都是搜索关键词日站的,从没入侵指定站,这一次尝试一下。
从那个站下手呢?一直感觉像我们这样的学校应该是有漏洞的。就从我们学校下手吧。
1.先上awv扫一下 105a0d7758f2dd849569ea989ed6f1ba.png
2.趁这功夫看看网站结构
这是伪静态吗?
2.png


看看其他学院网站
3.png
唉,不行啊,加注入语句直接跳到主页了。
没注入?那看看网站版本,看看有没有通用漏洞吧?
4.png
哟,网站还是学校自己写的啊?搜了一下果然没通用漏洞?估计是别人都懒得搞我们学校的站了吧!唉此路不通换一条路吧!
试试其他的学院。唉,醉了都不能注入!那试试弱密码吧!可后台在哪呢?此时awv已经扫了一段时间了,看看吧?
5.png

没高危的漏洞,不过还好找到了几个留言板页面,和后台页面!说好的弱密码,后台都找到了,赶紧试试吧!
6.png
这简单的登录页面,应该是我们学校的杰作!不过试了几个弱口令都不行啊。有验证码,就不能爆破了!!!,抱着最后一点希望试试万能密码,唉,还是不行。
刚刚扫到的不是还有留言板吗?试试插入一句话!
7.png
呵呵了。竟然还过滤了
8.png
竟然还记我ip唉,被查出来会不会处分我啊??
话说该怎么办呢?学校的站难道不好拿吗?不可能吧!像我们的学校肯定有漏洞啊!
看看能不能列目录吧!!!
呵呵,不行
9.png
下载数据库呢??可数据库在哪呢?试试googlehack吧!!
10.png
唉算了吧!!用御剑扫一下吧!!
还好扫到两个敏感的!!
11.png


哈哈有上传点
12.png
什么鬼?点上传按钮后毛反应都没有!!!!算了这个目前我还不会利用
下载那个rar文件吧也许是数据库,或网站源码!!!
呵呵,我哭了
13.png
2个G啊~~~~
让它下着,我在看看吧!!!
貌似所有学院的网站都在depart目录

14.png
那就扫扫呗,扫扫有不犯法~~~
神马?就扫到一个???明明那么多啊?仔细想了想,也对哦,他的关键词肯定御剑没有??
那只能自己一个学院一个学院的扫喽

15.png
不过还好我没放弃?在试了很长很长一段时间后终于找到了一个学院的目录有利用价值的
16.png
呵呵了,不是,试试下载数据库吧
不行啊
17.png
试了这个学院的弱密码
18.png
还是不行。
鬼使神差的我扫了一下管理员目录,我擦,有新发现!~~~
19.png
哈哈,数据库备份,竟然没验证
20.png
不知道是不是鸡肋啊,看看能不能用
20.png
好像可以唉,试试看能不能下载数据库吧?
21.png
悲剧了,不能下载数据库~~~,不过仔细想想应该是不允许下载mdb文件,我直接备份成其他格式的行不行呢?
22.png
备份成txt,我就不信你还能防下载
23.png
我擦,乱码,难道又是鸡肋,冷静下来仔细想了想,我吧mdb文件备份成txt是乱码,那改回mdb呢??
24.png
哈哈果然可以了。
解MD5,进后台
25.png
学校这破网站,这后台真是醉了,看的我眼花缭乱
换个浏览器,大马格式该为jpg,上传
26.png
换个浏览器,大马格式该为jpg,上传
27.png


奇葩简直是奇葩,后台没数据库备份,但后台目录竟然有个数据库备份页面。回到那个目录,吧刚刚那图片格式,备份成asp格式吧
28.png
哈哈,成功了!!!
29.png




唉,就到这吧,提权什么的以后再说吧,还要在这呆两年,不急~。~

====================================
在校学生,给予降低标准通过。












评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90!

查看全部评分

接地气 发表于 2016-6-14 13:52:55 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

本帖最后由 接地气 于 2016-6-14 18:41 编辑

要跟你说的太多了,大兄弟。

第一个
1.png


这种URL基本上100%不是伪静态。
伪静态既然是伪,一般来说重点就是处理为静态后缀,但是参数和参数名值肯定会有的(部分站点会把参数名在脚本里写死,不在前端显示)。
你这种,URL结构为↓
域名 目录 文件

伪静态↓
域名 目录 文件 参数名(有或无) 参数值(基本是一定有)


www.90sec.org/news/pro.php?id=5

可能有如下的变化方式↓
www.90sec.org/news/pro.php?id=5.html
单纯的加静态后缀,这种一般有两种测试方法。1.去掉后缀,反正无异常可直接测试注入 2.在参数值后面插入注入语句(数字型按照字符型测试 大部分都是这样)

www.90sec.org/news/pro.php?id/5.html
这种也有不少站长是这样处理,把参数名和参数值分开,这里的/可以是脚本内定义的任何字符(不与URL中其他字符产生影响为准)

www.90sec.org/news/pro.php?id_5.html
同上原理

www.90sec.org/news/?id_5.html
这种也很多,把脚本名给写死了。只保留个?

以此类推,很多很多,伪静态基本处理↓
1.加静态后缀 htm  html等
2.符号替换  比如用_代替=号  比如多参数情况下的URL用-代替&符 等等
3.隐藏 隐藏参数名 隐藏文件名等等
这些是静态化的基本处理方法。你那个肯定不是伪静态。希望对你有帮助。









评分

参与人数 1酒票 +4 收起 理由
管理05 + 4 积极参与讨论

查看全部评分

接地气 发表于 2016-6-14 14:00:53 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

  第二个,关于这个《通用防注入系统》


2.png



楼上有兄弟说这个可以拿shell,没错。

通用防注入系统,大体上可分为3个版本。
版本1:日志记录文件位于 sqlin.asp
版本2:日志记录文件位于 Fysql/Sqlin.asp 、
版本3: 无法拿shell 不存在Sqlin.asp

版本1火的时候,那时候的防护是《一流监控》最多,时代过去了。
没什么技术含量,拿shell方法传送门↓
http://www.wooyun.org/bugs/wooyun-2010-07379

版本2的方法一样,但是部分的话找不到sqlin.asp
下去遇到的时候你可以试试。

版本3 无法通过它拿shell。



现在的版本,大部分都是版本3 小部分是版本2  版本1很少了。






接地气 发表于 2016-6-14 14:07:42 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

本帖最后由 接地气 于 2016-6-14 14:10 编辑

第三点,关于你尝试留言板拿shell↓

3.png

  我个人认为这不可取。
留言板拿shell的条件↓
1.数据库必须为access,且为脚本后缀 且可以解析
所以在尝试之前,应该先找数据库

2.留言板功能不能框架写的,否则基本上都会转义的。

3.就是关于编码的问题,最好进行Unicode→Ansi编码 记事本就可以做到。 就不用考虑第二点了。


4.如果以上都没问题,但是有些环境不支持你一句话中的执行函数,也会报错,导致无法解析。


但是还是值得一试的,不过肯定要先看数据库后缀了。







接地气 发表于 2016-6-14 14:17:36 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

本帖最后由 接地气 于 2016-6-14 14:21 编辑

四.关于登陆

4.png

这个地方弱口令尝试无果,其实也可以挂着爆破。

有验证码,可以观察它是怎么验证的
1.输入正常的情况下,先验证码用户名。没问题则进行下面的验证。有问题(特殊字符 用户名不存在等)则提示不正确,页面不跳转。不对验证码进行操作。
2.输入正常的情况下,先验证码用户名。没问题则进行下面的验证。有问题(特殊字符 用户名不存在等)则页面跳转,弹窗。点击确定则返回,验证码脚本重取验证码。
3.输入正常的情况下,先验证码用户名。没问题则进行下面的验证。有问题(特殊字符 用户名不存在等)则提示不正确,页面不跳转。重取验证码。


这里1和2 都可以爆破,3的话可以做识别,扯远了。  只说了用户名验证码,密码验证 ,验证码这些思路都一样。
还有很多种,基本原理都是一样,你这种我搞过,很多时候都可以爆破。重点是只要登陆脚本内的处理,没有在非正常登陆时取验证码,理论上都能爆破。

所以你完全可以挂着跑一下top1k 1W等











y0uki11 发表于 2016-6-13 23:19:51 | 显示全部楼层

正式成员|主题 |帖子 |积分 162

如果密码没解出来呢?
数据库格式asp有路径,如果访问是乱码则插马,插的是ascii的unicode一句话。
未授权备份页面,找上传后,备份成shell
乐清小俊杰 发表于 2016-6-14 01:03:41 | 显示全部楼层

90Sec Team|主题 |帖子 |积分 287

本帖最后由 乐清小俊杰 于 2016-6-14 01:06 编辑

应该是大二把?
坚持继续学,起步不算晚

二手玫瑰 发表于 2016-6-14 01:14:54 | 显示全部楼层

正式成员|主题 |帖子 |积分 76

8.png
就这个东西,我记得应该有利用直接写马的
好像是sqlin.asp这个文件
如果表哥日后日站遇到该情况可以试试看
请参见http://www.jb51.net/hack/44423.html
温馨提示:另外FCK出如果上传的三个核心文件没有被删除的话,可以试试看有没有test.html,如果没有可以自己去百度下载一个也许可以直接达到不可告人的目的

评分

参与人数 1酒票 +1 收起 理由
管理05 + 1 积极参与讨论

查看全部评分

Luan 发表于 2016-6-14 01:20:45 | 显示全部楼层

正式成员|主题 |帖子 |积分 47

学院的网站一般都很容易提权。估计asp都能直接执行命令,不需要测试其他脚本。直接传个溢出exp到回收站或者其他可写可执行目录溢出。
king7 发表于 2016-6-14 08:39:04 | 显示全部楼层

正式成员|主题 |帖子 |积分 139

看到最后:在校学生,给予降低标准通过。

才明白了.....
小二黑 发表于 2016-6-14 10:57:54 | 显示全部楼层

正式成员|主题 |帖子 |积分 50

留言板插入一句话。。。是我姿势落后了么。。。
爱神 发表于 2016-6-14 11:12:56 | 显示全部楼层

正式成员|主题 |帖子 |积分 150

逗死我了
mx7krshell 发表于 2016-6-14 11:29:38 | 显示全部楼层

九零元老|主题 |帖子 |积分 77

新媒体艺术学院
pandas 发表于 2016-6-14 12:11:25 | 显示全部楼层

正式成员|主题 |帖子 |积分 177

二手玫瑰 发表于 2016-6-14 01:14
就这个东西,我记得应该有利用直接写马的
好像是sqlin.asp这个文件
如果表哥日后日站遇到该情况可以试 ...

哈哈,以前就讨论过这个问题,我认为是可以的,不过一直找不到实例。这里是以前的讨论帖子
注入怎么通过非法记录把一句话写入进去
http://forum.90sec.org/forum.php?mod=viewthread&tid=9043
(出处: 九零)



斯杰 发表于 2016-6-14 12:35:03 | 显示全部楼层

正式成员|主题 |帖子 |积分 189

没什么亮点,不过欢迎加入90
Blck 发表于 2016-6-14 13:56:47 | 显示全部楼层

正式成员|主题 |帖子 |积分 180

能搞下站的思路就是好思路
接地气 发表于 2016-6-14 14:19:40 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

  还有个,以后备份mdb不给下载情况下,备份成DOC 屡试不爽。比压缩包格式更好。
接地气 发表于 2016-6-14 18:44:56 | 显示全部楼层

九零元老|主题 |帖子 |积分 119

@管理05
五哥费心了,还把回复给上移了,今天真是看出来不容易了。
Madm4n 发表于 2016-6-14 21:25:23 | 显示全部楼层

正式成员|主题 |帖子 |积分 136

欢迎来到德来联盟~~
maya66 发表于 2016-6-15 08:48:04 | 显示全部楼层

正式成员|主题 |帖子 |积分 173

为什么很多人 搞这玩意都是从自己的学校下手呢

@接地气  分析的很到位 good job
404notfound 发表于 2016-6-15 10:43:30 | 显示全部楼层

正式成员|主题 |帖子 |积分 102

Madm4n 发表于 2016-6-14 21:25
欢迎来到德来联盟~~

欢迎来到阿特联盟

 楼主 蔡小哥 发表于 2016-6-15 21:54:00 | 显示全部楼层

正式成员|主题 |帖子 |积分 18


谢谢前辈指点,我刚刚起步,好多都不懂,希望前辈能多多指教。
 楼主 蔡小哥 发表于 2016-6-15 21:56:09 | 显示全部楼层

正式成员|主题 |帖子 |积分 18

乐清小俊杰 发表于 2016-6-14 01:03
应该是大二把?
坚持继续学,起步不算晚

恩,今年刚大二
 楼主 蔡小哥 发表于 2016-6-15 22:02:14 | 显示全部楼层

正式成员|主题 |帖子 |积分 18

接地气 发表于 2016-6-14 13:52
要跟你说的太多了,大兄弟。

第一个

谢谢指点,网站这方面,我懂得不怎么太多,学过一点.net,前辈的指点真的让我收获很多
 楼主 蔡小哥 发表于 2016-6-15 22:11:30 | 显示全部楼层

正式成员|主题 |帖子 |积分 18


前辈,第二种情况,验证码重新获取了,怎么还能爆破啊?
快速回复 返回顶部 返回列表