渗透测试

记一个简单的渗透测试过程

Author:eip_0x[Freebuf]
  PS：本人技术很菜，大牛莫怪

朋友发来的一个站，让我帮忙看看。用了一上午时间把主站搞定了，可是主站是提不了权LINUX，而且内网90%都是WINDOWS的服务器，拿LINUX搞WINDOWS各种不爽，况且还是个低权限的，NMAP的各种参数都用不了。又从外网看了下C段，除了主站外对外开了三个WEB服务，俩静态的放弃了，就剩一个2K3+IIS+ASP的站。就他了！

操起各种SCANNER一顿扫，没注入点，找到了后台路径。惆怅了！发现了一个能和管理员留言的地方，于是乎猥琐流XSS盲打后台。管理员也很不负责，M天之后他才登陆。进了后台，发现管理员的密码居然是123456，真想狠狠的抽自己个嘴巴，然后再把手剁了！

进了后台发现了一处上传图片，未果，放弃。又四处逛逛，发现有个上传档案的地方，应该能上传webshell（如图1）。上传了个ASP文件成功了，点了下后台的下载链接居然直接下载了，找不到上传路径。抓包看了下，也不行。

我突然对这个上传产生了一点自己的看法，那就是：MLGB！！

没办法，想着在后台找个注入点读数据，把写在数据库里download的路径读出来。有的被过滤了，有的加引号报错（图2），MYSQL4的数据库，UNION查询9个字段，但是提示类型不正确CINT，应该是ASP代码里强制加了类型转换。

继续在后台找别的注入点，发现了能正常UNION查询的，搞之。MYSQL4的数据库果断LOAD_FILE。先读IIS的配置文件C:\WINDOWS\system32\inetsrv\MetaBase.xml，得到网站根目录。之后load_file数据库连接文件，在之前的LINUX的SHELL里连，怎么都连不上，纳闷了。猜数据库的表和列，猜到表了，但是死活猜不出保存上传存储路径的列。

没办法，读download.asp，的文件得到如图3.

分析下代码，请注意

strAbsFile = Server.MapPath(".") & "\file\" & strSNO & trim(rs(""))

这句。

原来上传的文件保存规则是网站根路径\file\上传文件的ID.后缀。
这样问题就解决了！嗯哼，成功拿到webshell，然后就开始各种猥琐的内网渗透，就不写了。。

因为是上班时间，行文比较流水，请大家见谅。

最后总结一下全文：钓鱼岛是中国的！