一次对学校AVCON系统的渗透

起初就是想扫下，内网的IIS服务器，看看内网是否存在put漏洞的IIS服务器。

出来一堆的结果就顺手点了下。

发现目标存在任意文件下载，就把系统的shadow文件给下载了回来

http://xxxxxxx/download.action?filename=../../../../../../etc/shadow

想着直接解密登录，但是后来发现root的密码解不开。就先放着

然后我又通过任意文件下载，把管理员的bash_history想看看他之前进行了什么操作

http://xxxxxxx//download.action?filename=../../../root/.bash_history

看到类似的配置文件的路径，然后在 网上找了下资料想看看配置文件叫啥。

成功下载了AVCON系统的配置文件

http://xxxxxx//download.action?filename=../../../opt/avcon/avcond/conf/avcond.xml

从它的配置文件中找到了数据库的账号和密码，并且数据库时支持外连的

就这样 直接连接数据库

然后从这大量的数据中找有用的信息。

发现了2张账号信息的表

sys_user表

sys_admin表

破解了sys_user其中一些账号的密码，登录进去发现功能很有限，就是一些办公的功能。

然后破解了sys_admin表的nbut用户，登录进去发现功能更多

从表的结构可以看到nbut不是最高的管理员，admin和sysadmin才是最高的管理。想去破解这2个账号的密码发现如下情况：

。。。。。。。。。。。。

然后就拜托朋友帮忙破解下

然后登录admin，功能如下

功能是多了，但是感觉也没什么用处。

这个时候就想，看看MYSQL的数据库版本看能不能尝试UDF

看下数据库的版本，感觉可以试试

UDF 方式行不通。

------------------------然后感觉就没什么思路了，就去吃饭，边吃饭边整理思路------------------------------

回来的时候又看了下 shadow文件的内容，发现竟然还有另一个管理员avconroot！！！起初看的太着急没看清楚

然后我再次拜托朋友破解下avconroot的密码

然后用Xshell去连接服务器

看来是改端口了，通过nmap找下SSH的端口，一个个尝试，发现SSH端口改为7001

然后使用avconroot账号登录get root

总结：

1. 收集信息的时候要仔细！！！

2. 要有一个有钱的好朋友