[TOC]

记一次渗透测试实战（已授权）

帮一位朋友进行的一次渗透测试检测，给了我一个官网域名

www.xxusss123123.com

Date: 2019-09-27-02:52

0x1 基本操作

拿着 7kbscan-WebPathBrute 1.6.0 一顿扫 结果如下

https://www.xxusss123123.com/xxusss123123.com.rar
https://www.xxusss123123.com/member/admin.asp    
# 访问弹窗 “对不起，您不是管理员，请不要恶意操作”

https://www.xxusss123123.com/member/user.asp?Action=reg
# 注册用户页面
https://www.xxusss123123.com/robots.txt
https://www.xxusss123123.com/info.txt

如上发现备份文件下载方便多了，文件太大了所以下载完之前我看了一下网站大概的功能，注册了一个 test 账号，访问了一下 /member/admin.asp 发现还是弹窗 “对不起，您不是管理员，请不要恶意操作” = = wtf 看了下 cookie 。

如图：

刷新访问 /member/admin.asp 发现直接进来了 = = emmmm 不做评价

后台进来了，找上传点吧，我找的头炸了，源码下载完之后文件太多了，搜索关键文件 最后花了两个小时把所有的文件包括 upload 上传文件 admin 文件 config 数据库备份 配置文件 可疑的文件 发现源码日期为 2013年…

总结 这个域名只是通过采集别人网站的方式来进行数据更新，而后台就是刚才的管理界面没有任何可以上传的地方，没法拿到 webshell 我的头越来越炸，于是我下楼买了一个手抓饼 = =

最后我在一个文件下发现了 另外一个域名，于是我进行了域名爆破，最后拿到的域名

如下：

http://www.xxusss123123.com/            X
https://xx.xxusss123123.com/						
http://mail.xxusss123123.com/						X

Mail 域名指向的是腾讯邮箱所以忽略

看了下 xx.xxusss123123.com 域名拿 7kbscan 扫了一下 都是些没有用的文件 什么都没有扫出来，发现突破口。

如图：

官网源码备份了，分站第六感觉也会有备份常见的路径跑过了, 随便访问一个不存在的路径返回 404 看到物理路径 直接访问 xx.xxusss123123.com/zhangben.rar 果然直接下载源码

查看源码我懵了比官网文件还要大,看了下都是些没有用的东西，直接搜索 upload 发现敏感文件

如图：

直接访问 xx.xxusss123123.com/excel/SWFUpload/upload.asp 发现什么都没有，于是查看 upload.asp 文件源码，发现可以任意文件上传。

如图：

编写 poc.html

如下：

<form method='post' action='http://xx.xxusss123123.com/excel/SWFUpload/upload.asp'  enctype="multipart/form-data" > 

<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>

<button type=submit value="getshell">getshell</button> </form>

直接上传文件进行getshell 操作， 看了下 upload.asp 的源码找到路径

发现没有对文件进行重命名操作 ，直接访问上传的webshell

http://xx.xxusss123123.com/excel/SWFUpload/excel/user/temp/demo.asp

( webshell 已删除)

提权要听朋友意见 ……

后言

最近没怎么更新博客，主要是事情太多了，一直在敲代码 想着整合自己收集的 Nday ，0day 进行批量化检测和利用，来提高效率减少人力，呼～ ，收工睡觉。