|
& O. f8 R2 L7 r5 H9 {: U
3 L9 |8 d: Q1 s4 y" E# H; O
0 y9 J, O3 w; u% X
# r" O. G0 j" v7 r- ~2 A2 m 1、网站弱口令getwebshell
8 U# e$ h8 l( B! ~/ l& {
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
& c3 B0 V) @* _
' y2 g/ R& f- S3 ]4 f' ]0 {" l1 \
, O: Q1 d7 ~6 U9 _, C+ M* O! d. M
& f: d# [, J, b! H/ u
( i5 O. K- q+ B' [# Q8 L然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
4 ` }4 t) P7 ?3 v3 W7 n
- j: I# H6 I4 F$ o7 l) i4 L+ k
( F& K8 B* b t% w! |7 Y1 o1 T
- W3 l+ @* q1 ^) G8 ^! f2 \2、各种方式尝试反弹3389
; `+ _2 A! A: o
拿菜刀连接执行ipconfig /all,发现是内网,如图:
) L; M5 n& R C1 v2 l
- O$ a6 Q2 h1 ~' C6 E" W+ m- B
0 v- F& z( S) r* ?! T服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
; |" _( t) Y; R d0 @4 `) C @2 \
( x$ w5 [+ J8 W5 \1 i
TCP/IP筛选在注册表里有三处,分别是:
3 L% o( Q l7 q, i7 c$ y- RHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
" {0 n# l/ h" {7 V+ ]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
4 \0 B- L) @" Y
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 B0 }, G$ u I( C
( V2 h3 g' v! B- C" n2 Z( C$ \% W导出到自己所指定的目录进行修改:
. s8 s! z+ w! d- h) l5 B& E* A$ iregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# [. O! E& N. j' |
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
; i e: A+ |! q4 w% u- S' t
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 ~: p- K2 P# s+ z! ^& n
# ]% Y4 e+ y0 V U$ \然后再把三个文件里中的:
j# A, h7 J) }! D' }! X“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
. X/ @9 Q, Y _& a" ~+ m再将以上三个文件分别导入注册表:
6 a4 \5 M, W% _) b5 p0 e
regedit -s D:\网站目录\1.reg
) {) B$ ^/ P& t Z% kregedit -s D:\网站目录\2.reg
# {& X6 t- j. L7 [$ ^7 i+ [/ gregedit -s D:\ 网站目录\3.reg
# M: |. S# T7 \; o% R3 k
重启服务器即可!
; A, W- V' D8 n4 G) S1 t
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
" k9 V5 A+ d) Q2 W: \3 Y
6 X, s# w, i- q8 m- W
8 h3 u" E% y, [. g' v
+ ^& a6 ?; ^! m4 G( O3 Q2 O然后还需要安装个程序SocksCap,然后加载如图:
" b7 c6 C z# R' _- W2 n
8 y6 i, ]) H" F( k( g
: E/ t0 u0 |- }4 h* p
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
, M8 ]1 W v) ^. V( D# r. i
2 w" b! G) U6 N. `2 w! r
% s2 w& y$ H& g A) j( ^
1 X& {, o1 [1 p2 B9 o7 ~/ y
0 K4 c' \ `6 {3 z) L' F既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
8 k. a9 E4 q a
! |; e. w4 ^1 r: \+ d/ k
7 s8 l, r- Z/ l1 s
6 M' c# U$ T2 c+ W
y# I& W2 b0 M1 h& M' R2 a8 `/ G
2、数据库提权与ms15-051提权双进内网服务器
, A; a( l u" v
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
5 |5 E+ u4 R; Z: ~$ {
K- H- I5 Y3 q# J1 f
$ B) I" D4 r6 v/ e) p+ q- N' M
' o9 }* z% {$ e1 ]+ g3 X' R添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
0 X9 J ^. \0 Y( `
5 g, i! { W: t2 q3 l7 ^" F2 R
8 j. k+ H% e6 \8 S& B; q$ o
' l0 d* v. p6 }6 @
同样添加账号密码,终于进了目标站的远程桌面如图:
! |. j- Z2 k6 P. z/ q
9 v* n4 q# Z7 m) q
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
A. j; r3 B5 O: M % d/ L5 w1 b- r6 b& ]
" Y- `6 x, \% z( N+ y# b# J$ S
* o5 E0 r2 _- V9 C1 l( Q. S8 t | 
发表于 2018-10-20 20:16:49
收藏
支持
反对