|
& R* e( V' g" W+ A, p0 G4 j, \
& B( W( D# K4 w. P& p2 a
8 n1 f; ^, T9 ~; E
6 @ J0 l# _$ V+ c: R- } 1、网站弱口令getwebshell
D) L" }9 Z4 A经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
4 W, R) ]$ V; D: p6 t / x- L1 W: w$ f r0 ^; R4 P
 9 w( v7 f( R) k e+ G" F( b
' U+ U* D0 m4 a( r: h
: o( X8 h' E" i然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
& ^8 L: h1 Q/ F. e# j; U5 ]" e # y$ Y/ j B# m3 I$ K8 @+ r
N6 ~ c/ H, Y5 e! x0 X % _+ `3 L+ r9 E. w: U# v( t
2、各种方式尝试反弹3389
/ y! i. \3 m) h$ v3 R拿菜刀连接执行ipconfig /all,发现是内网,如图: ; s2 A1 `; A7 U
 7 s3 K* J4 g& G& |& G
! n" A, S, x. V* S; u2 e* l0 ?( K
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下: % {' P0 w# A8 R4 I- U' u
" {& ]& u, u, c8 i* `$ r! A
TCP/IP筛选在注册表里有三处,分别是:
' _8 l6 K' o4 L1 ^HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
{' z) Z* ?" }" |1 |/ k2 FHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip 6 R) I* Q! y; X2 G
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 5 N' M& n7 z9 L6 p) X8 G h) u3 k
5 j: h+ ^0 E7 f2 Z; K; m K导出到自己所指定的目录进行修改: 7 `# i: n1 L' |: ?% e% v4 x1 u- @) }6 k( n
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
) I8 T' @% j7 a1 {regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 L7 k; p1 t- O/ Aregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip ) o" d4 o% ^3 B0 x N$ f
! q3 P+ W( L& @% \/ K, f8 Q$ ]然后再把三个文件里中的: ' n7 {% W# p4 ?. T3 |- ~! b; l
“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
2 r$ e r- Q: c- c再将以上三个文件分别导入注册表:
! L2 f# A0 N9 rregedit -s D:\网站目录\1.reg
+ V$ t; U3 O/ x& l* l( l6 D) bregedit -s D:\网站目录\2.reg ; I f% Y- T7 `) ]2 F
regedit -s D:\ 网站目录\3.reg # v$ M. r6 j6 m' K1 b( H
重启服务器即可! 3 T- p u o: C/ R
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
+ W! Q' _ P! ~6 x' W
: P; T- d0 N. y! R: q ; r. B2 A$ G, s7 k% N
. s$ j( p- e* ^" B' G& P1 m0 ]
然后还需要安装个程序SocksCap,然后加载如图: + Y4 u2 O9 Q; [% L0 r/ K
; H- C8 F2 {- E Q- y& e" j

7 p/ C8 i; Z. q# J, `% `; S7 a1 C下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图: * V7 k6 g& Z/ U
B" D( \$ W+ b3 t: T$ u
2 o% @7 U+ J! V$ x6 H1 h 3 [- q9 n# `2 l& Y# w ~# l& A8 F# h
: S% d7 w3 C. w. J: [1 J既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图: ; w" \: J/ Z& h {" _. Y
) [0 Q7 Q1 [5 i3 P! K: E " m3 \5 A, X& R7 F

2 a% c4 [; T7 W" N5 t; k
l) l+ n* d0 }1 h1 M* H8 \4 H. Q2、数据库提权与ms15-051提权双进内网服务器 ) f) Y2 V9 M6 p2 g
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图: 5 [! T0 j/ ?- ^' \/ f% T# _

' a% Z. |1 R: q) B
7 E4 ]2 w! [6 X* j1 w0 } H1 h+ O: X. p4 z5 z7 ?
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图: . H& W' c1 p5 l5 l$ N
" j4 H, w5 F, Z# O! M9 E
4 g( m& `1 V. x( X. E# U

/ P; E* B( N6 G$ ]9 H# W同样添加账号密码,终于进了目标站的远程桌面如图:
- @3 H8 Q$ F6 _5 f6 v! |" q ; D [ T: ^2 O. }
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
; F/ y1 W* \! s
9 Q) D4 |! u+ L$ D0 \1 D
9 J$ [; O. Q' i1 \
C. C/ \- p9 \2 R+ V% K |