安全矩阵

 找回密码
 立即注册
搜索
查看: 891|回复: 0

遥遥领先!经典文件上传getshell提权

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-9-17 19:29:08 | 显示全部楼层 |阅读模式
信安404 2023-09-16 16:20 发表于广东
以下文章来源于X安全实验室,作者16岁广西鬼火少年

距离这次渗透已经过了两三年,由于时间久远,当年的水平和思路有限 很多细节已经忘记了,只找到了图片。由于笔者的表达能力和文笔有限,部分语言使用了GPT进行语言上的组织。还请大家随意看看,相互借鉴。对这个站点进行渗透的原因是,笔者刚参加完某个考试,但是排名迟迟未公布,于是笔者对这个网站发起了猛烈的进攻。
拿到一个目标站点,开始先上一波目录扫描

然后习惯性打开F12看一下有什么可以用的信息 然后这里可以看到响应头出现了IIS6.0  IIS6.0是 Microsoft 的 Internet Information Services(IIS)网络服务器软件的一个版本,它是 Windows Server 2003 操作系统的一部分。

漏洞挖掘
这里使用BurpSuite直接使用了内置的浏览器进行测试。
首先 OPTIONS发了个包,发现可以使用PUT方法,那么思路就是直接PUT一个木马上去
这里用PUT方法来操作上传
这里是上传失败了 asp被拦了 右边响应404
这里上传有个小坑 不知道是被拦截了还是有白名单上,尝试了各种绕过都行不通 后来干脆就传了一个txt上去 然后用move||copy来移动文件,达到修改文件名的目的
我这里上传txt后面用move来更改文件然后 可以打开中国蚁剑连接  编码选择utf8
至此基本成功了一半 因为我的最终目标是拿到数据库或者system权限
提升权限
????可以看到,无法执行命令。

猜测应该是权限问题,因为是上传的是asp,俗称小马。应该再上传一个ASPX(大马)
网上找了个ASPX????传上去页面长这样 毕竟是十年前玩的技术了
这里可以运行DOS命令,但无法进行交互式操作。我进行了测试,发现主机似乎已配置了严格的出网策略,只允许81端口通信,而其他端口则不允许出网访问。这种配置非常严格,因此接下来需要专注于提权操作。现在让我们回到主题,开始讨论提权。
win2003 pr.exe提权 首先上传pr.exe 然后cmd 里面运行pr.exe pr会偷取Token(令牌) 之后创建一个pr进程 你在把pr当成cmd来使用就有了system权限!

至此目标完成50% 我的目标是拿到数据库,因为当年笔者正在经行考试,想提前知道成绩排名
反编译&&代码审计
我找到了关于数据库配置文件
使用非交互式shell测试连接正常 这是C#连接数据库的语法 但是我不会C# 所以写C#来拿数据理论上没有问题但我不会????
退而求其次本来想走密码爆破系列 但一些文件引起了我的注意
Bin一般存放重要的二进制文件 也是现在我才知道这个网站前端是ASPX 后端是已经编译好的C# DLL
我说怎么找了这么久全是前端文件 二话不说 打开dnspy DLL文件拖进去反编译开始代码审计
虽然我不会C# 但是看看注入点和逻辑还是没问题的
在这种情况下,我发现了验证密码的 DLL 文件,并尝试通过将 `flag` 设置为 `true` 来永远返回 true,从而实现了任意密码都被认为是正确的,实际上达到了万能密码的效果。
但是,由于在普通 ASPX 页面上没有修改 DLL 文件的权限,我利用之前提权的过程创建的进程来实现 DLL 文件替换。
命令是我在自己的电脑上测试了很多次才放到目标主机运行 echo y| 是为了出现选项的时候选默认选y 。替换成功之后再打开网页, 随便输入一个密码都可以登录,因为已经把后端的判断登录的逻辑改了 。这个时候,虽然没有拿到数据库, 但可以登录并且遍历出每个人的成绩再进行排序



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-12-1 03:52 , Processed in 0.012645 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表