|
5 E- m) l0 s" s
6 V: x6 t: ^% \. _% y" A# Y4 x" M
; Y$ z" l F; P8 n5 i- R
: G: H8 m$ M. e% i: A c. r 1、网站弱口令getwebshell 9 L; J% v' J X0 @) {: U
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图: ( j+ u8 l% u, R" G& j7 Q, }% J
1 M W" _! z1 H3 y# V9 P& w! n! C 8 b! `" {; {# C/ N4 N; ~
% i% S/ i( C6 g/ t/ P4 N Q# t! D
8 v+ U$ O6 H k# B
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
1 k- [7 k5 w9 I+ o; m) M # F# k' D3 D% y- A6 ? l4 f
$ ?0 }" R$ s( _3 G 6 `" r: r1 M9 R! f. N
2、各种方式尝试反弹3389 : p$ x% L/ Y, H, `: C, G
拿菜刀连接执行ipconfig /all,发现是内网,如图:
. U; T* Q$ |& G8 ^ ) h( d: g0 ^. r( x
$ I M+ P& u0 j; B+ m/ [) t服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
* F: x+ c3 o0 c* K& X2 k9 o/ |
! B8 n% P p G# b) eTCP/IP筛选在注册表里有三处,分别是:
1 ]8 o& M& q- c+ D$ G2 c1 I: v5 ]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip % ?0 q* D. a+ ^2 c5 X
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip ~8 _( f1 b2 z- {. L9 N$ e& b
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip % p6 O! {& F4 U2 }/ C, o9 Y3 T
7 U) Y& s& V+ x$ f. K/ Z
导出到自己所指定的目录进行修改:
" d* p) G# Y2 @$ g: k3 S3 O5 g* yregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip : ?9 b' |8 E1 D
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
/ y1 d' E( Q; C' C# J8 ?4 Xregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 1 ~, G3 |7 L7 J" e$ d
( [; Z0 W/ A$ B5 i
然后再把三个文件里中的:
. c% a) v! N: O3 C1 |4 x' z“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
% t' W+ m8 O9 g5 @+ K再将以上三个文件分别导入注册表: + t4 h7 z+ N2 ~( s! ?) {
regedit -s D:\网站目录\1.reg
& E7 i' k# v* O* z8 q/ Y" H8 nregedit -s D:\网站目录\2.reg 7 g. L: B% h0 D+ y% S+ t$ W
regedit -s D:\ 网站目录\3.reg
' V; F+ _# U- s- g$ b& U& g重启服务器即可!
# Q" ?) i0 Q$ {( G# ] o1 B但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行 8 F9 {. O5 p' o% M7 t( K
* V+ u" P6 [- [% x7 }; r ( u+ X) w8 y) C3 I: L2 ]6 ]
3 _0 W: K2 l* Q0 o7 N然后还需要安装个程序SocksCap,然后加载如图:
& a/ T) b# q$ m# N i! n! P* K# U $ `7 S" R+ E, B, l0 G5 ~

! N0 T; B1 v- I) @下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
+ n' a2 J; B) S, H" { # b, T* x4 u+ U0 i4 u8 P' n7 b; H
2 y- A# G& g3 `+ f' ]* [
1 }5 [ W" _# w1 y& J* Z0 `9 [ 9 C a* ?& h+ }1 D O
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
: \ @' s* I, _( a. H( g+ O3 l
/ n- B* G/ X, X- \2 Y
0 M7 f1 | t1 ^% y: Z \2 C
) Z6 o" l' p; J. a: S2 }, x
. z. g* z! D; r6 H2、数据库提权与ms15-051提权双进内网服务器 `7 q2 K; K8 g0 t. d, S- L- g, [# R* e
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
( Z2 S5 |/ w+ j+ j9 _! t$ @
% |2 y: _1 b5 }$ J* `( Y
6 y {+ j- ^; z% E& S0 U+ { z: u- D0 p O8 Y. _7 _
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
# j; u$ K9 M+ f) D- |5 c, @ 0 S, ]; a3 c3 C* X' y, @
# G5 }6 e5 X8 d& F! ] ! t1 G* p& r# t
同样添加账号密码,终于进了目标站的远程桌面如图: 3 e- x& `: n- O: ?- A
 . U: w) ~ Q' d1 Y( `1 y3 W3 z
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 ( }' j* U; D+ t3 h9 Y; G+ u( d
8 N8 @$ y7 \1 `5 q m% s
8 ^. Y) s, G8 r& Z 4 A$ N4 t+ c9 b1 F
|