第四課:Asp代碼審計(jì)--項(xiàng)目實(shí)戰(zhàn)2
專注APT攻擊與防御
https://micropoor.blogspot.com/
任務(wù)背景:
需要得知周某某的今年采購(gòu)的其中一個(gè)項(xiàng)目具體信息,目前已知該成員是xxx電網(wǎng)。負(fù)責(zé)豐滿大壩的采購(gòu)人員。
整體思路如下:
找到開發(fā)公司,得到源碼,審計(jì)問(wèn)題,得到shell,拿到服務(wù)器,得到域控(或者終端管理)。得到個(gè)人機(jī)。下載任務(wù)文件。
得知該電網(wǎng)公司電網(wǎng)相關(guān)網(wǎng)站是某公司出品,得到某公司對(duì)外宣傳網(wǎng)站,并且得到該公司服務(wù)器權(quán)限,下載源碼模板。
源碼審計(jì):
全局共計(jì)2個(gè)主要文件,分別是Func
on.asp,Startup.asp
后臺(tái)驗(yàn)證項(xiàng):
Function.asp
來(lái)源驗(yàn)證:
注入驗(yàn)證:
(目標(biāo)服務(wù)器waf,遂放棄)
錯(cuò)誤處理:
XSS字符處理:
直接輸入admin/下文件名處理:
目錄生成:針對(duì)iis6以及iis7 php版本
Startup.asp
配置文件:當(dāng)不可以執(zhí)行的時(shí)候,是否可以備份出數(shù)據(jù)庫(kù),以便下載。
關(guān)于新聞顯示,全局incude head.asp
其中check_si.asp 主要為防止注入
Get注入
Post 注入 新版本中加入post注入
過(guò)程中遇到服務(wù)器卡頓現(xiàn)象,也就是不清楚列名數(shù),本地二分法測(cè)試如下:
在admin 目錄下有個(gè)database.asp文件
目標(biāo)測(cè)試:
根據(jù)以上信息,構(gòu)造referrer,構(gòu)造參數(shù),禁止js。產(chǎn)生出越權(quán)漏洞。
根據(jù)越權(quán)漏洞,繼續(xù)看upload.asp文件,允許匿名上傳圖片文件。在根據(jù)越權(quán)漏洞備份出
webshell文件
82:
得到webshell
對(duì)方?jīng)]有開啟遠(yuǎn)程桌面:
開啟:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD
/d 00000000 /f
通過(guò)該服務(wù)器得到mssql 數(shù)據(jù)庫(kù)。得到終端管理權(quán)限。
查看在線機(jī)器,查找目標(biāo)人物。
推送payload 反彈。
確定是否為目標(biāo)人物:采購(gòu)員 桌面截圖
按照任務(wù) 取得該人員的其中一個(gè)xls文件
任務(wù)完成。
Micropoor
?
