. s( H& o f, ^
6 m# T" n6 G7 l0 ?, ]5 J) f: }
! o' P- I; o" i: P" \. f' ]& j0 M9 a5 w1 @3 \; @0 _
1、网站弱口令getwebshell 4 Y6 d- J4 w" r g' a# R8 q3 R8 t
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
5 q" U( U+ i. ]4 y+ m( I" Y, Q & ]' ~- |# X5 I; _% m# _5 N* x
. @# I; ~) [2 C& Y6 }. A7 k
]' \* u7 a* X! k / e& W8 J. y e
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图: $ t" H& o+ O- ^# ?8 K- j! ^3 X
# S- k: `4 c, k( O8 s9 h0 ^ q3 b
& O/ v1 B, m' z8 G/ H% O0 Z$ _
$ Y3 E1 \* `" N) j; q6 }2、各种方式尝试反弹3389 ( b& Z! E( `3 @$ b
拿菜刀连接执行ipconfig /all,发现是内网,如图:
- Q" I5 N! k' W5 B9 J' e+ l 4 R0 C- D, q* e" q" m1 }, v t
' L1 o9 \ \& F! S5 m* K服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下: * s# d% d; u2 y0 b- ]
0 a4 Q0 U+ P( V6 Z$ m
TCP/IP筛选在注册表里有三处,分别是:
+ l+ @% J1 w# J7 g0 R3 AHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 Z* N" i* \% W" e: [: |! YHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 f+ ]$ k/ F' B7 G0 H3 f2 RHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip ; y$ Y1 B; D1 Y0 _ W$ h
( x' C8 p& ^1 [$ S, M! h
导出到自己所指定的目录进行修改: 2 ~8 J0 u- n9 l# l# L% Z
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ O, o" f' l( M& Sregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
2 H; g4 S8 ^% v& c: {& qregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip ! B7 g+ H+ E, X# T3 ^+ m5 \
' }7 i) X2 m2 Y C4 X$ W
然后再把三个文件里中的: & j' X) }3 \- c0 x6 V ~3 ]7 g
“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
* s+ \% s6 F* L$ i& i再将以上三个文件分别导入注册表:
7 d" M: f! o0 xregedit -s D:\网站目录\1.reg 3 b, m5 G: P8 s+ Q+ ?7 P/ F
regedit -s D:\网站目录\2.reg / O& I! z5 V6 w4 u- z X
regedit -s D:\ 网站目录\3.reg
) F- c7 y/ Q+ ]! i重启服务器即可! 3 Z8 X4 R2 H0 G
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行 5 M) ~" b$ r: c# J/ i+ ^! c; v6 @
4 h, B+ g e1 A
/ W$ b; n8 U) y# @1 L, @+ R+ L : w, c$ Q. ]0 p. F* z
然后还需要安装个程序SocksCap,然后加载如图: % ~/ p) P' |. U0 y- ?4 L1 ^
, o) ^; {& v& P7 U# ^# A
5 p& f z, c% |/ @5 d4 h
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图: " y2 u$ D. @. Y* W- W
" U6 E' R) v7 b, C! f& W3 ?3 K G
8 o( A c! i O( A4 Y
h: K7 i5 k4 e8 i. C2 h
3 Q& z) c' i9 A9 g既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
+ f( g$ R# I* T/ K K% e- n ! O# d: v7 t0 `* I( h% b+ R6 [
4 [2 y- ]/ v, W4 Z! W
$ p0 t5 e8 Q: n" s5 b0 \
1 _8 r5 O! M: d! V9 [; F' N2、数据库提权与ms15-051提权双进内网服务器
5 x) ]$ P4 f! Y6 Z7 J( p5 gOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图: ' e# X! i+ O$ r1 @- F. M7 E
2 ]( q! G6 G, ~
! i8 }9 d( A |+ }2 T% [
) {' G, G: O& h+ g+ G5 O1 ^添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
5 d5 x$ V9 `5 x/ a. `
2 G7 ?5 |& n: u
) f' y& W% t; e
2 K# D" p; c: r# E. R$ d! U$ l/ k6 E同样添加账号密码,终于进了目标站的远程桌面如图: 4 |* n4 \$ U, S8 V; s* H
& E3 @# {" j& [3 @0 V' v$ E( r总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
" V4 y8 U- B, u- W0 [$ l y
" R0 Y( F. D- x( P+ o- v r. R, K/ P
4 f- v5 _: Z* J |