第四課:Asp代碼審計--項(xiàng)目實(shí)戰(zhàn)2
專注APT攻擊與防御
https://micropoor.blogspot.com/

任務(wù)背景:
需要得知周某某的今年采購的其中一個項(xiàng)目具體信息,目前已知該成員是xxx電網(wǎng)。負(fù)責(zé)豐滿大壩的采購人員。
整體思路如下:

找到開發(fā)公司,得到源碼,審計問題,得到shell,拿到服務(wù)器,得到域控(或者終端管理)。得到個人機(jī)。下載任務(wù)文件。

得知該電網(wǎng)公司電網(wǎng)相關(guān)網(wǎng)站是某公司出品,得到某公司對外宣傳網(wǎng)站,并且得到該公司服務(wù)器權(quán)限,下載源碼模板。

源碼審計:

全局共計2個主要文件,分別是Func

on.asp,Startup.asp

后臺驗(yàn)證項(xiàng):
Function.asp
來源驗(yàn)證:

注入驗(yàn)證:
(目標(biāo)服務(wù)器waf,遂放棄)

錯誤處理:

XSS字符處理:
直接輸入admin/下文件名處理:

目錄生成:針對iis6以及iis7 php版本

Startup.asp
配置文件:當(dāng)不可以執(zhí)行的時候,是否可以備份出數(shù)據(jù)庫,以便下載。

關(guān)于新聞顯示,全局incude head.asp

其中check_si.asp 主要為防止注入

Get注入
Post 注入 新版本中加入post注入

過程中遇到服務(wù)器卡頓現(xiàn)象,也就是不清楚列名數(shù),本地二分法測試如下:

在admin 目錄下有個database.asp文件

目標(biāo)測試:
根據(jù)以上信息,構(gòu)造referrer,構(gòu)造參數(shù),禁止js。產(chǎn)生出越權(quán)漏洞。

根據(jù)越權(quán)漏洞,繼續(xù)看upload.asp文件,允許匿名上傳圖片文件。在根據(jù)越權(quán)漏洞備份出
webshell文件

82:
得到webshell

對方?jīng)]有開啟遠(yuǎn)程桌面:
開啟:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD
/d 00000000 /f

通過該服務(wù)器得到mssql 數(shù)據(jù)庫。得到終端管理權(quán)限。

查看在線機(jī)器,查找目標(biāo)人物。

推送payload 反彈。

確定是否為目標(biāo)人物:采購員 桌面截圖

按照任務(wù) 取得該人員的其中一個xls文件

任務(wù)完成。

Micropoor
?