|
& I" b" x0 v$ \* v5 y0 X) V o+ K
$ F4 Q0 [ x! c) g; b
. E, C6 b1 g9 Y0 Y Q
) G6 I$ R, f0 F) \9 F
1、网站弱口令getwebshell
6 L6 @; X& K1 i$ g' U* _
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
2 h2 f3 w3 \, h. u
) X! L2 H3 M: f1 {: U) r6 A
4 G0 A: ~; u4 c' U) K; K
5 I! p2 t% B y8 c: A C& M
` p S7 s) J {
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
( _5 g" e+ f$ N- n4 v" a0 I
* _; ?2 a) m* T% ?. v5 i
' T: S: w; A" y
$ e: ~) `& \+ I
2、各种方式尝试反弹3389
8 I6 g' s, Y0 U* G
拿菜刀连接执行ipconfig /all,发现是内网,如图:
( D6 `, b+ _2 b; p9 B
+ S/ D/ Q2 o5 j- L y
3 w+ _3 J* W" m) j6 E) L. B服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
; ^0 f% t0 G \) R+ Y
- {; v6 H+ @) j# [TCP/IP筛选在注册表里有三处,分别是:
/ a* b0 Q4 r; ?; n5 E
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
C5 F- i! j; U; b7 g/ V
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 p0 W: d$ H; V0 \" d7 ]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ A- g: B% B6 H. N
+ d' t% Z. R6 @1 {& y' A, ~4 O0 H8 O
导出到自己所指定的目录进行修改:
# l' f6 ]4 T+ k6 Z3 w
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% g7 K- n) g6 h0 Q
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
* I/ n: Z- X) `# t+ X' `" \
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 i V+ ?- Q# b7 P6 Q) a
6 D/ N3 D; _& p3 o然后再把三个文件里中的:
; ~( g2 W" M: Z: Y6 k! U+ N2 v“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
$ W. j! i* @1 t5 L5 |再将以上三个文件分别导入注册表:
( n& t/ ?2 G2 I) }# Y$ C( `: r; Wregedit -s D:\网站目录\1.reg
( Y$ X% \ v( |regedit -s D:\网站目录\2.reg
8 u) g$ A6 V, ?/ H- H
regedit -s D:\ 网站目录\3.reg
# e* J9 I4 q& V! p$ ^# v6 {重启服务器即可!
) z# G9 `% m, [2 V/ U! n
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
/ c- y5 u9 z1 m" ^* q( |
2 z% F# v/ @$ H# n, c
* u% p1 R7 b2 n9 c
/ I' q3 g @" ~& n9 e+ s* I然后还需要安装个程序SocksCap,然后加载如图:
8 n( m1 `- p# E; a( d' x* F
' i- N$ _+ ^4 e2 ? Q
) g* R. p9 i: p! K: w
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
' ]' r% E6 a1 u! C: T1 L
6 S( V: H* I' `* v8 u$ f# }! ]" x
) _2 w4 v# e& M) |
% A1 e1 I1 k. y' C- }3 v
0 H- O, l. H$ t9 u0 F( x
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
: }0 _4 Q" g- N; e5 F
& V6 q0 C/ Q( j0 K1 e
2 j5 ?5 N8 F% U0 {0 S$ K' ~2 W
% g8 ]" b8 s/ N$ r; r& k5 Q
) Z* T& @! X3 X* b* R2、数据库提权与ms15-051提权双进内网服务器
- k9 R. h" k% A) ~9 @0 S2 O2 R1 u
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
' E" d6 Q9 r1 T9 H
+ h4 m6 j" y! `& l* g# O# R
" e4 n% i2 O1 S% F, N
- @9 A1 @8 g" z/ i1 K' K) F
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
" ?1 |+ R& O2 ]; D
& S& `6 k( E. d& r4 d
_9 [# V" |: k
) r+ k7 T3 a4 X
同样添加账号密码,终于进了目标站的远程桌面如图:
' d9 D" c# S: j ^5 n
) o( H; Y1 @0 ]' m9 h" \
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
' y9 ~7 q0 \2 ^* U5 C
0 D0 S, N/ M- [% U- l; I
+ Y/ I5 S0 P8 V& n5 @: g. ^, [
( w2 G' @9 N/ ~, g8 i" o, v8 ~2 \$ O
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对