WooYun.org

渗透测试的起因，缘由一台教育局的图书服务器。
那天闲的无聊拿起工具扫了下，没想到webshell那么多！http://blog.ptjy.com/help.aspx直接登上去，发现存在脱裤脚本。

目测应该是被脱裤了，网警叔叔，看你的了。
提权guest抓hash，发现guest已被提权，桌面上还有抓鸡工具。
想了想，这样教育局会不会也是这样不堪一击呢？
用抓到的密码远程登陆www.ptjy.com，端口一样，密码错误。
扫了一下http://blog.ptjy.com的c段，发现有存在一台服务器，目测也是教育局的。202.101.111.24，也是密码不同，纳闷了。
检测一下该服务器网站cxq.ptjy.com，发现存在ewebeditor，弱密码不行，正在无奈之际，发现底部有技术支持的公司跟莆田教育局的技术支持一样。

找到该公司网站，这里不是重点忽略不写，上传webshell，找到ewebeditor密码。测试刚才cxq.ptjy.com，测试发现密码一样，却一句话写不进配置文件，列了下目录，发现网站源码，下载下来，发现该网站通过外链数据库。连接上该外链服务器，找到账号密码。登陆后台，在新建模板内插入一句话webshell。连接一句话，查看了下服务器，发现该服务器上存在教育局公文系统，但主站却不在上面
抓取该服务器的hash未发现管理员账号密码。这下子纠结了。
突然想到刚才连接的数据库服务器跟教育局网站的服务器IP在一个段内，会不会该服务器上也有教育局的后台密码，按结果来说，确实是这样的。

准备自定义模板拿shell却发现跟cxq.ptjy.com的不一样。写入了webshell却访问不了，通过burpsuite抓包上传好久却还是不行。然后郁闷的想到了，可能禁用asp。上传aspx成功！
一个pr直接提权抓hash，通过密码分析出该段服务器由IDC负责，密码尾部跟IP地址一样，测试了数据库服务器，也证实了我的猜想！

目的达到了，就不继续渗透整个IDC了。
让我纳闷的是，我上传到服务器上面提权工具都删不了。神马都关了，连冰刃神器都上就是删不了？奇怪，这是神马原因？？
管理员麻烦你了，请勿跨省。。