|
/ S7 t: ?2 G3 u6 @
% M4 c4 _4 c: D: l7 c( r4 X' b 1 O' S& r2 B6 o
) h2 r+ t2 u7 c. ~& o$ s
1、网站弱口令getwebshell
7 g( d; C$ V3 e5 q9 @, U
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
9 ?+ k0 Q0 k) j
- p. ^ V6 U/ b8 S; l& B+ H4 Z9 ]
8 ?$ K- W0 X& J: o r
& x. W" K+ h+ V- {0 E% a+ c+ e& f0 |5 H
$ r6 i [, J4 [% b P
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
, I- z& n/ V% S7 n
4 x# v% K' T" U8 V+ ?
) d5 t. ?; i0 p- h! [3 D- `( L
9 j! @1 b/ |$ l( J2、各种方式尝试反弹3389
) p9 Q6 k% \( ~) u
拿菜刀连接执行ipconfig /all,发现是内网,如图:
, v. L$ {# u$ m& ?5 r' s
1 ^/ F, K4 I7 A6 T0 f0 @) b
& P0 l3 f+ K6 C, k) m服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
, ~/ u1 a" V' }2 M
* g% a: g6 I3 J" P$ N1 M3 N+ b3 ~
TCP/IP筛选在注册表里有三处,分别是:
i- L- \" d p) E0 n7 @
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
( v; U! ~. v+ _. T( a1 lHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
' F3 V8 {& {+ V" d+ E' _
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
/ U* A- C: H, ~1 e
3 X5 @/ j' H/ I, ~/ |: d
导出到自己所指定的目录进行修改:
- Y* O9 f1 Z( `, {& ^7 i% }regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# s6 w& j8 f: u: }regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
8 I% l- x' G* `/ ~regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 K: s3 R/ d& D, z# k
h2 F$ y/ ~5 p
然后再把三个文件里中的:
2 s. x; n0 V+ J% O7 P“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
2 u4 P* A, P" w7 @: Z5 L! h6 m再将以上三个文件分别导入注册表:
- h' s0 V* i& E h% u5 s( p. G' sregedit -s D:\网站目录\1.reg
( Y. ~3 G j0 N6 {+ L# S; @& R& D. O+ Kregedit -s D:\网站目录\2.reg
, C2 u* X# h0 v6 y" z9 Z
regedit -s D:\ 网站目录\3.reg
) i! R' i# i5 c重启服务器即可!
( I6 B9 k6 g0 h6 u4 z. ?. k但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
; X* P) Z" C' Z
- n/ q) v I( Y7 D7 m/ ^
/ T. _# Z: @5 Q
. I6 G! U/ S! U6 y. t) s然后还需要安装个程序SocksCap,然后加载如图:
( k8 J t+ i Y9 @+ V
$ J/ F( j* R/ B- W0 _' b8 _
. I8 O, C) H. n$ H7 }下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
8 a( N( K, c" w+ \0 V
. R0 T+ X6 R/ J- n
! R5 R' |- X, F$ D
6 s( ]# R( U) v+ p0 D# U
' M& I; |" e9 t3 f# m; [
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
' b& N4 R5 X8 D) X& X2 C
3 s' t( Y% m7 H% w+ z
) k$ G ]; O p9 N
* r; \2 z) a( Y
# @( k" q6 \" v) c
2、数据库提权与ms15-051提权双进内网服务器
6 ? K% N! D! d$ w4 j# Q& AOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
* B+ @& ^- N* D) {
( s# M# T' \" A' c, i4 \
5 k T. Z: K5 o/ s. i
2 R4 c# C! }5 j
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
9 v x w2 ~. ~# _3 n/ g
! ]1 @ l4 j0 R6 j# g1 h
5 h' X a0 u ]
: _) m X+ k- C# D9 i同样添加账号密码,终于进了目标站的远程桌面如图:
, @0 T' m# k4 j1 B# X* w
1 V. a& e9 t& {) c+ h2 ^0 i/ b$ I总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
) \% N. q* ?) L. S
7 j: F9 c4 k& n
1 r% P+ o5 a% b9 B3 B5 q
, A- F6 O' j O+ T
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对