|
7 x9 @0 {! N- K. m# r
1 A/ {8 G/ q# Q1 A( [% L! ]4 s6 H+ r
+ k2 [, R2 y' Q+ c( H; f0 ^4 A! [# q h8 n8 y
1、网站弱口令getwebshell
' E; q# e- c+ N! Z
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
& u) o+ b! l( W4 p- w) L
* B& }% q& U0 D3 N
' J8 q; m! I Z6 D8 a
; d, _' P9 |3 F$ Y1 f3 ^
0 b" U$ ]3 N* R5 D4 m然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
' }0 t! a3 X% `# L2 X: L# U
2 S2 m% x& p0 h+ U( f/ |
]; v) L0 B/ L p! ^" G1 E$ y
u4 n5 `! w& i4 k! H
2、各种方式尝试反弹3389
+ R- y+ z- ]& Z1 V% E3 Y* Y/ s# B拿菜刀连接执行ipconfig /all,发现是内网,如图:
3 @* v* a6 Z5 r u6 b$ W6 N
5 `, o4 i' t# s! J
& N: F& a: e; c' |" s1 W' f2 P
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
8 k8 U9 p$ ~: x1 {, \+ ^
1 ?6 r9 K8 s% B3 L4 v
TCP/IP筛选在注册表里有三处,分别是:
6 p6 H/ \( p# ?' K, z( X3 `
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
6 N! x3 p4 s# F6 @9 z0 s+ w
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. I4 S! i, i3 T0 z: yHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
' ~! L8 a( F/ K2 y- S, t
6 H3 Y6 l9 o: ~" ?! \- L/ [9 n导出到自己所指定的目录进行修改:
6 F9 Y. S. x/ O# D) F6 W; f
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
- C: |- S. _, qregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
0 d# K) y% t( y& k+ }, B( M
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& x, ?) l- p2 H, T8 _
& Q" c+ H1 a* v, r
然后再把三个文件里中的:
" J0 v+ I } A“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
# O3 @, v# N, w$ \; ]6 u3 P3 v1 A1 O9 h
再将以上三个文件分别导入注册表:
0 ^, ^6 m5 C8 O6 f' m5 Rregedit -s D:\网站目录\1.reg
8 _: z) u( m7 r6 O6 u3 U
regedit -s D:\网站目录\2.reg
m% U& s" Z" J: _8 J4 Q) ~
regedit -s D:\ 网站目录\3.reg
4 L0 G- K& ?9 y7 G
重启服务器即可!
. I3 d& t1 B* t8 o# h1 l
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
, X' @6 G y" p0 r
# A! s' q0 @/ B6 {) y
) s; p& m+ O4 \9 t: Q
" B- B' N g5 J0 z: D: n然后还需要安装个程序SocksCap,然后加载如图:
s, S3 D0 j$ |' E, \
& s( W4 A; V; ?& _8 U! t/ H" `
5 G5 M4 ^& `2 ?' B: }下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
* ^5 C7 s9 B' s: B" L: P
T. l5 _ S4 _" u! F
$ x- K+ f5 a i4 G& T L% [; G
: i0 C" j) v, R+ A* r+ i. g
3 x! o" ~9 Q) ]9 _7 c' ^* U# O既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
% H8 k5 {! b0 K. [
2 Q9 ^: X4 N, |3 |
+ }4 `& ~! P1 \, Y' h
$ z( q3 m9 x& i! z1 }$ c. g
1 u+ E' T5 S9 Z+ z$ }5 w v2、数据库提权与ms15-051提权双进内网服务器
) Z4 _% H) {% b. k' ~4 s ^OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
( a! }: I) L* J! x$ o$ w4 P# N( O
4 s2 \% B4 p; D2 g0 u8 H
+ r! z) ]5 a; {3 ?( p S
* m& X* C6 P( V) N4 d& V添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
; V# a, W1 E; @4 G
- H1 c- K2 ^& Y9 h( ~) O
' W* z v7 ~' p$ t' b7 ]8 T, n
* P3 c2 z6 D! W& f% r g% Z ]
同样添加账号密码,终于进了目标站的远程桌面如图:
5 P F1 A6 \2 j# I! j& `9 |8 D
) U) C$ ?4 N/ w总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
/ {; ?* f% P6 o N ~. y
6 p# }, @8 Z; a, E, k5 l( H" r1 N# n+ M
; g& L9 `/ I6 f( h; P' y5 G
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对