其实这个厂商之前就挖过他们家缝隙，提交了不少缝隙给他们，如今都修复了，比来闲来无事，又对他们演示站点进行了一次“深入”研究。

0x01 演示站点入手

打开他们演示站点，测试了一下之前的缝隙，空账号空暗码登录已经被修复了，测验考试弱口令登录，123456登录进去了。

然后对之前存在缝隙的上传点再次测验考试截断上传，发明已经修复了。
后台多了一些成果，好比下面这个“文档打点”，上传已经绕不过去了。

0x02 前方高能预警

我们先上传了一个txt文件，里面的内容是“1”。
文档打点这里可以删除文件夹，同时也可以预览文件夹,然后通过burp抓包看一下预览文件的数据包，数据包如下

一个骚思路呈此刻脑子里面，我们何不测验考试读取一下其他文件看看呢？

说干就干，直接输入一个不存在的文件看看，数据包fileid里面的文件名改削成Space66662333.txt

然后重放数据包，检察返回包已经提示找不到文件，并且爆出路径了。

嘿嘿嘿你们知道我要干啥了吧？

看路径就知道，我们上传的1.txt是在网站的二级目录下，所以可以使用../跳转到上一级目录。../../暗示往上跳两次目录。

此刻我们测验考试去读取网站配置文件尝尝，文件名改削成../../web.config然后发包。

可以看到已经读出了网站配置文件信息，里面有数据库账号暗码等等数据。

测验考试长途连接数据库，不出不测，禁止外连啦。

0x03 继续分析后台

因为这套系统是真的烂，所以我猜度后台的盘问成果必定也存在注入。
如果权限够高的话，说不定可以直接上传shell呢。

说干就干，找能盘问数据的处所，我们用burp抓包，然后把抓到的数据包放进c盘下1.txt里面。
然后启动sqlmap，输入以下命令开始检测
sqlmap.py -r c:\1.txt

可以看到简直是存在注入的，我们输入以下命令看看是否为dba权限。
sqlmap.py -r c:\1.txt --is-dba

此刻测验考试输入如下命令，执行交互式shell尝尝。
sqlmap.py -r c:\1.txt --os-shell

报错了，找不到解决要领只能从头找其他注入点尝尝了。

咱们继续burp抓包，然后sqlmap验证。
最后，终于有个注入点可以执行交互式shell了。
看了下还是system权限。

咱们先收集一波处事器信息
输入tasklist

从上图可以看到，处事器装了eset杀软，进程是egui.exe ekrn.exe。
说实话，我真的很讨厌这个杀软，之前就遇到个，各类工具和后门城市给你杀失。

继续输入net user
发明啥都没获取到，不显示账号名称。

那么咱们直接看扼守理员账号是几多，还有长途登录端口是几多。
首先输入query user得到用户名称

然后输入以下命令，获取到长途登录处事的pid
tasklist /svc |find "TermService"
可以看到pid出来了，pid是3312

我们再输入netstat -ano |find "3312“
图中可以看到长途端口拿到了。