对某查成绩系统的一次渗透测试

老师不允许几个关键字出现

就只能这么说了..

0x01 信息收集

nmap上去一顿扫， 毕竟是内网机器端口肯定开放的比较多

1433是对外开放的，8000上面还有个web服务

打开8000端口看一下发现有目录示例漏洞，文件全部列出来了，有一个压缩包，猜测是网站源码，下下来看一下

（到写文章的时候目录示例已经修复了，已经没有截图了，假装这里有张图）

打开压缩包先看Web.config，找到MSSQL的密码

直接连上去

本来想着这不就简单了直接上去xp_cmdshell就行了

然后就被拦截了

这种必是360淦的，没办法只有先找绝对路径，然后直接写shell

xp_dirtree是不被拦截的，可以通过这个找绝对路径

然后通过存储过程写webshell，这样是可以不被360拦截的

写了一个txt发现的确是写进去了，但是不知道为什么aspx写进去访问就404，估计是配置了什么，已经很晚了就歇了，明天再看

0x02 getshell

第二天打开电脑一看火绒报那个压缩包有毒，可能是因为昨天渗透的时候把杀软关了，就没有提示，重启电脑之后就提示了..

打开一看是一个webshell，问了一下老师说可能是之前测试的师傅留下的

虽然不懂asp不过大意差不多就是用@切割后的数字-142再用ascii码转成字符串

写了脚本得到密码是he11o，然后就用着这个shell上去了

whoami查看了一下是低权限，想到了之后某大佬说可以whoami /priv查看有没有可以切换权限的token，之后就发现了这个SeImpersonatePrivilege启用了，那么就可以用juicypotato提权

想办法先cs上线，tasklist查看一下发现上面有360

现在360还是比较好过的，直接签名伪造就免杀了

这里有个细节，asp的webshell直接执行shell.exe会提示拒绝访问，很多时候可能就以为杀软拦截了，其实用cmd /c shell.exe就可以执行了

0x03 提权+结束

这时候CS已经上线了，直接用taowu的插件提权就可以到system，顺便再扯一下，一般只要木马运行起来360然后在做什么敏感操作360就不会拦截了，不像卡巴斯基还会内存查杀

然后就是抓密码，netstat -ano后发现3389是开着的，但是应该只对特定的机器开放，开sock出来就可以登录了

主要的目的还是要找到某知名查成绩系统的登录密码，顺便扯一下，这个系统是有客户端的，并且数据库用的是oracle，这些以前都是不知道的，也是经过这次渗透测试学到的

在文件夹里面找到了数据库密码，然后用桌面上面的数据库管理工具登上去

拿到密码之后去cmd5解密就得到明文密码，之后就可以登录这个系统了