> For the complete documentation index, see [llms.txt](https://micro8.gitbook.io/micro8/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://micro8.gitbook.io/micro8/contents-1/1-10/4asp-dai-ma-shen-ji-xiang-mu-shi-zhan-2.md).

# 第四课：Asp代码审计--项目实战2

## 0x00 任务背景：

需要得知周某某的今年采购的其中一个项目具体信息，目前已知该成员是xxx电网。负责丰满大坝的采购人员。整体思路如下：

* 找到开发公司 -> 得到源码 -> 审计问题 -> 得到shell -> 拿到服务器 ->
* 得到域控（或者终端管理） -> 得到个人机 -> 下载任务文件。

得知该电网公司电网相关网站是某公司出品，得到某公司对外宣传网站，并且得到该公司服务器权限，下载源码模板。

## 0x01 源码审计：

全局共计2个主要文件，分别是Function.asp，Startup.asp。

### 1、Function.asp

后台验证项：

* 来源验证： &#x20;

![](/files/-LZJwrC4yScfRoNAxBrw)

* 注入验证：（目标服务器waf，遂放弃） &#x20;

![](/files/-LZJwrC6TZYM8MamOSYj)

* 错误处理： &#x20;

![](/files/-LZJwrC8GM_I9RpYBgt3)

* XSS字符处理： &#x20;

![](/files/-LZJwrCA_wY6P8ZVHr-h)

* 直接输入admin/下文件名处理： &#x20;

![](/files/-LZJwrCCXRrnDNrbp8bG)

* 目录生成：针对iis6以及iis7 php版本 &#x20;

![](/files/-LZJwrCEewY1Iez76Mel)

### 2、Startup.asp

* 配置文件：当不可以执行的时候，是否可以备份出数据库，以便下载。 &#x20;

![](/files/-LZJwrCGJ3J_SW9u79eg)

* 关于新闻显示，全局incude head.asp &#x20;

![](/files/-LZJwrCIZAhQ-PSW5KMb)

### 3、check\_si.asp

其中 check\_si.asp 主要为防止注入

* Get注入 &#x20;

![](/files/-LZJwrCKvSdcG43oA92V)

* Post 注入 新版本中加入post注入

过程中遇到服务器卡顿现象，也就是不清楚列名数，本地二分法测试如下：

![](/files/-LZJwrCM-dDeQ9tKlYiq)

![](/files/-LZJwrCOFkPOf5g2HosA)

![](/files/-LZJwrCQzs5NgqzmDcWs)

### 4、database.asp

在 admin 目录下有个 database.asp 文件

![](/files/-LZJwrCSn2XDLvb3BwaQ)

## 0x02 目标测试：

### 1、越权漏洞

根据以上信息，构造 referrer，构造参数，禁止js。产生出越权漏洞。

![](/files/-LZJwrCU7USgU-Ui0vze)

![](/files/-LZJwrCWqGeyHns1_YGo)

### 2、上传

根据越权漏洞，继续看upload.asp文件，允许匿名上传图片文件。在根据越权漏洞备份出webshell文件

![](/files/-LZJwrCYCh9RdNlHNno_)

![](/files/-LZJwrC_lxkDFHNw5CCb)

![](/files/-LZJwrCbQoi1Jl-HUYdo)

![](/files/-LZJwrCdA8bUffb6oy3u)

### 3、Get Shell

得到webshell

![](/files/-LZJwrCf0fqPHD4n_E5g)

### 4、开启 3389

对方没有开启远程桌面，开启：

```
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
```

### 5、Get Admin

通过该服务器得到mssql 数据库。得到终端管理权限。

![](/files/-LZJwrCheB75ZsW5pkOd)

![](/files/-LZJwrCjZrWTAL6pG2Ae)

### 6、查找目标

查看在线机器，查找目标人物。

![](/files/-LZJwrClKZCfuZb741yd)

![](/files/-LZJwrCnbDaAb8kI9_Vc)

### 7、推送 Payload

推送payload 反弹。

![](/files/-LZJwrCpoS4f0LsLnxLp)

![](/files/-LZJwrCrXotLYdiWMucr)

### 8、目标确认

确定是否为目标人物：采购员 桌面截图

![](/files/-LZJwrCtDgHF5VVtKSNH)

![](/files/-LZJwrCvelWfrg9nv0pM)

### 9、Download

按照任务 取得该人员的其中一个xls文件

![](/files/-LZJwrCx0calZ8B2a_Zg)

![](/files/-LZJwrCzchPC527oNQCo)

### 10、Mission Completed

任务完成。

![](/files/-LZJwrD0PgxppHn8lfoM)

\--By Micropoor
