记一次曲折的渗透过程

OA的故事

登陆处存在注入，利用万能密码直接进去
找到2处上传，但是上传后他没有给出文件路径，而是给的xx.aspx?id=22这样的数据库读取路径的方式，因此上传可以不用试了。
登陆处可以确定是百分百的注入，结果手注和丢sqlmap都跑不出来。。。

然后发现了这么一个地方，可以执行sql语句，发现是db_owner权限，不能执行xp_cmdshell。
然后某处上传被禁写了，因此导致爆出了绝对路径，现在绝对路径也有了，那么直接拿shell吧。
尝试差异备份拿shell失败

经过各种折腾，最后不得不相信真相....站库分离，好吧，既然是如此，那么这个OA也就没必要继续看了，后台2处上传全部禁写，SQL也无法拿shell。放弃，转战，浪费我一个通宵。。。

Oracle你好

经过各种翻子站，找到了这么一处Oracle注入，PHP+ORACLE+LINUX环境

说实话，挺讨厌Oracle的，因为总是很多很多表，1000多个表，我找个后台密码真费劲，后面百度到了一条语句，通过语句，查到了密码：

select table_name from DBA_TAB_COLUMNS where COLUMN_NAME like '%PASS%'  //搜索全部库中带PASS的表名
select table_name from sys.user_tab_columns where COLUMN_NAME like '%PASS%'  //搜索当前库中带PASS的表名

结果登陆后就一个统计页面而已！！！！
好吧，DBA的Oracle，还是从数据库下手吧。。。。
翻了很多帖子，尝试Oracle创建java函数执行shell命令，折腾了很久很久，一直都不成功。。。
还在坛子翻到了以前某牛写的一个Oracle注入点执行命令的脚本orc_exec.py，不过怎么尝试都是报错

然后改了下，

改了后不报错了，但是执行并没有回显，而且没执行成功，手动测试发现从第一步就出了问题，提示太长了，有长度限制，那基本没辙了，只有在此放弃。。。

中场休息

一个通宵加半天时间，找到了2漏洞，然而两个漏洞都基本等于不是漏洞，我的目标是内网，对 ，就是内网！！
瞬间陷入纠结中，子站全看过了，都没有搞头，难道我这次渗透真的只有如此收场了吗？

1.尝试爆破子域名，看看有没有遗漏的，结果并没有什么收获。。。
2.做信息收集，好吧，我承认我之前并没有做过收集，我搞站都是一边搞一边收集，没有一开始就信息搜个遍的习惯。。。

找你找的好苦

一通收集过后，发现也是毫无卵用，并没有什么发现。。。
正当我关了所有东西准备结束的时候，突然从必应搜索中发现了某个子站，对，就是子站，谷歌百度居然没收录的子站！！！我爆破也没爆出来的子站！！
因为不太方便透露太多，所以基本都是码字，图少了，还是给你们来张图吧，免得说我意淫。

看到这个页面，我想许多熟悉的人都能猜到，没错，有0day！！

GETSHELL真难

NC其实并不存在，不过倒是有IUFO，并且存在漏洞
铭感信息泄露：


然后准备爆破的，不过这个服务器承受能力差，我得设置延迟发包才行，很麻烦,需要大量时间等待，所以真的不想爆破，先手工尝试吧，反正我在之前2个注入还是得到些密码的。。
手工测试登陆，各种构造密码均失败，最后万万没想到，root，root居然登陆了。。。只能说，fuck
然后喃，在登陆的时候，又遇到了个问题，登陆提示日期格式不合法
一直登不进去，百度搜了半天，发现似乎和浏览器有关？反正最后我用WebCruiserWVS内置浏览器成功登陆。
然后在上图中爆用户名那直接上传JSP，成功getshell！

转发真是门技术活

进shell第一时间转发，进内网才能愉快的玩耍，
结果万万没想到，在转发上面我居然折腾了四个多小时。。。
1.尝试reGeorg转发，结果出错

2.尝试lcx转发，成功转发3389，但是连接的时候提示数据加密错误，然后就掉出来了。。

百度了下，发现似乎是要删除某个注册表键，然后重启才行，我虽然有administrators的账号，但是我没有system的权限shell啊，所以删除提示拒绝访问。
这个问题我还是第一次遇到，直觉告诉我，根本和注册表半毛钱关系没有，应该是转发的问题导致的。
3.尝试reduh转发，失败告终。。。
4.NC就不提了，被杀的体无完肤。
5.ew成功助我一臂之力，话说第一次用，刚开始在转发命令上还写错了，尴尬。

至此成功进入内网，本次渗透结束，漫游什么的没必要了，所有网站和服务器全在我的掌控之下~