信步漫游某大型国有图书网

91ri.org:本文的前半部分讲述的是通过一处后台权限验证不严同时可直接上传aspshell来获取了webshell,小编个人感觉没什么亮点,但是接下来的东西似乎有点意思,所以省略了前半部分,直接让大家看进入内网后的部分吧。

利用已经沦陷的资源,找到配置信息,登陆内部邮件服务器,大量敏感文件泄露,各部门内部通讯泄露

面对海量的文件,准备上传aspx脚本进行IIS spy,更详细的布局整个系统

将准备好的aspx上传至服务器并访问

弹出了典型的ASP.NET的身份验证

解决问题的方法是:

1.先利用chrome的扩展工具查看当前页面是否存在判断的cookie代码

可以看到,当前并没有任何的cookie

于是可以断定该身份认证一定是Windows身份认证,而不是Forms身份认证

因为Forms身份认证需要Cookie来表示登录的状态,Windows身份认证则依赖于IIS

查看web.config,并删除了<authentication mode=”Windows” />系列的验证代码

再次访问aspx脚本,依然弹出windows身份验证,并且发现我们所写入的aspx只是缓存模式,验证不通过将会删除文件。

可以判断此ASP.NET使用了IPrincipalIIdentity接口,并且是全局的保护模式

于是利用已经拥有身份key验证的本地aspx来突破认证,经过分析文件发现web目录下的q.aspx等文件属于已认证并且没有实际用处的测试脚本,编辑q.aspx,将原本准备好的aspx脚本内容替换进去,保存后访问,成功绕过windows身份验证。

IIS spy ,成功嗅探到IIS所有用户密码和所有其他站点配置信息

执行cmd命令,查看用户

上传iis6 0day ,成功得到system权限

添加系统管理员账户,成功加入管理员组:

关闭防火墙

 91ri.org:小编看来本文的亮点其实就是在于:发现问题 研究问题 解决问题的过程,拦住大家访问这个shell的框,能有很多人能够解决,甚至是那种很easy的轻松解决。但你未必会懂得为什么是这样,也不知道到底发生了什么问题。能知道的可能就是。噢~我遇到了一个框,嗯,替换个文件,噢~解决了。。
其实学安全比学任何都累,因为你要掌握的不仅是安全,我们该做的是知其然,然后知其所以然。
[via@f4ck]