|
& ^. u/ }/ E& L
2 F" |! G4 f* o
' u. a4 `* I6 }& _ T9 U/ z5 D! h# Q
1、网站弱口令getwebshell
0 Z- B& W, l2 }/ \$ n/ x* i" \2 ^
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
% @( @4 j& V p/ O) }8 s
9 j" U- o- ?' R! \$ _+ b
* U, B/ p; U0 C4 n7 [) h" t
9 c+ o s" @$ t0 H6 q; f: h
; D/ }+ V8 q, [, E
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
+ h6 Z. b. G" x
6 d. b/ ^# I" |6 v
, h& k9 \" |( p) V! E. y! f3 m) ~
6 [) |0 {" B- R3 ]+ h* Z* {
2、各种方式尝试反弹3389
) G6 V; ^5 G$ Q6 @拿菜刀连接执行ipconfig /all,发现是内网,如图:
' `1 g% g+ q' h. g: {- c5 H
: `/ |: u" t& P$ z) O+ m4 I4 L/ X
l$ ?) W, P) Q3 E, X/ p" B) G- U服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
7 e) R5 _. X% S- @6 I: [" ^
% B, z4 n* @0 r, N
TCP/IP筛选在注册表里有三处,分别是:
2 N/ T* F6 K2 ^# C& AHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
1 v" z' y3 e& G& A/ o+ d1 NHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 h$ w7 s$ g3 ~' K( h. T! Z
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 ^3 q6 G7 d% k' C- o' |$ y* F( l
e% M2 g* R3 I e7 |5 u导出到自己所指定的目录进行修改:
* x8 E; Q+ @; x
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
7 q( j; o9 [' P3 y" E) Y: p: Eregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
* b0 k. W; D' I
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
3 }) |/ P4 r5 Y9 Y" g
9 S% [) @- t4 w& E* p. C7 s' u3 B然后再把三个文件里中的:
, j) l* u( M7 F% q7 }“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
/ i4 L: ^ R" [+ j. y: p9 R% B再将以上三个文件分别导入注册表:
9 }7 m: `# l- ]& p9 i
regedit -s D:\网站目录\1.reg
* l$ H) _$ V) u0 j% l; F3 v; @6 y+ o
regedit -s D:\网站目录\2.reg
. H# l# I0 h8 c6 Q: }
regedit -s D:\ 网站目录\3.reg
/ }" @& B) g5 e( {, h* J! B {4 l
重启服务器即可!
3 K" Q' I* E6 @* p但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
- g8 I1 |' Y0 Y
4 A' | F) ?5 W/ d) o* F% \
% H! d2 T& x* D! y! F% ]$ Z$ g
" O. V# M4 C2 G3 n8 ~然后还需要安装个程序SocksCap,然后加载如图:
; R5 x: v8 t5 Y+ b( X4 O
- ~, o7 N! z1 q& j$ r
" ^! b6 N* f& g; ]; Y
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
6 k7 E. W& n8 Z: c% o/ n
0 e* [" u5 ?% K3 U; C
: S* W4 j1 {% v% ~' f" u: |
3 H) f% D- I! j% }* _4 d* I1 G
4 g6 _" \. P1 ^3 x# ?- G8 g3 O& e
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
1 L: R' Q3 ]5 ]1 L7 G
9 y2 Z& x" o8 _' H
; t3 p7 L9 ^$ G; y+ q: b8 l
N. ]- F9 J, m6 W' r
+ i" c& Y% o* L, _2、数据库提权与ms15-051提权双进内网服务器
- B$ q. p' o+ e3 }4 E0 U
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
, T$ H" }# d0 |2 m6 s
% I/ ~' k- l+ Y: K3 B" {$ M/ L
+ U5 _- n- v/ W1 h* |, X& W
9 K: F9 t& z6 q( Q
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
; j/ T8 p* I, I" G' o
+ D* C, a+ y% d4 H' {3 S( y9 h
! S& M5 B1 R* J& H. p9 x
, m1 D9 s- _+ |同样添加账号密码,终于进了目标站的远程桌面如图:
c6 H1 o( @8 V( Y- u0 W. ^- D; O8 T
0 B5 t$ y/ |# r6 d/ u总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 - N9 _: I' k* Y5 L8 _2 y+ P b
3 x6 E8 T. |; r0 R9 M
& g J7 ^7 o7 _4 k1 w
; V4 D) L7 t* s6 r, ?9 D6 A | 
发表于 2018-10-20 20:16:49
收藏
支持
反对