实战经验分享：从文件备份泄露到主机上线的全流程分析

导言

这篇文章记录了一个测试项目中，通过文件备份泄露到主机上线的过程。

文件备份泄露

首先进行了弱口令攻击，但没有成功。接着进行目录爆破，发现了一个名为web.rar的文件，下载后发现其中包含了如下的内容。

代码审计

解压后发现源代码为ASP.NET框架，为了快速了解内容，使用了Fortify进行扫描。

配置文件+未授权访问

扫描结果显示了一个XML配置文件，其中包含了诸如数据库账号密码、微信AppId等敏感信息。尝试访问该文件，发现存在未授权访问漏洞。

此外，配置文件中还包含了默认登录账户和密码哈希值。通过解密哈希值，成功获取了账号明文密码。

使用解密后的密码登录后台，验证成功并成功进入系统内部。

储存型XSS

在扫描报告中发现了多个反射型XSS漏洞信息。随意尝试了一个输入框，发现存在储存型XSS漏洞，成功执行了测试语句并弹出了窗口。

文件上传

发现了一个XSS漏洞后，停止了进一步的测试。尝试上传webshell时发现站点未进行任何XSS过滤，利用上传点成功上传了webshell，但未返回上传路径，文件名也被改写成了参数形式。

通过源代码中的信息，成功构造了正确的文件路径，并成功连接并上传webshell。

未授权访问+数据查询+xp_cmdshell=RCE

发现了一个可以执行SQL语句的查询页面，由于未授权访问，可利用此漏洞进一步探测系统。根据配置文件得知系统使用SQL Server，利用此漏洞成功开启了xp_cmdshell，实现了远程命令执行。

xp_cmdshell

介绍了xp_cmdshell扩展存储过程的使用方法，并成功执行了相关命令，最终实现了GetShell。

上线

在尝试上线时遇到了挫折，尝试使用Cobalt Strike的pwoershell和bitsadmin均失败，显示权限拒绝。最终确定存在杀软阻挡，应该在执行之前先查询杀软是否存在。

查询

通过webshell执行tasklist命令列出进程列表，发现主机开启了360和安全狗杀软。

免杀

尝试使用免杀工具绕过杀软，最终成功上传了木马并实现了上线。

结语

通过文件备份泄露，简单审计，利用信息搜集、打点、命令执行、防御绕过等方法，成功实现了系统入侵。据FOFA搜索显示，使用该应用系统的资产约有二十几个，属于小规模的通杀。