3 w. y% I1 O! T3 h9 [1 E; x# _$ Z
7 r% E9 a) S& I5 t* d
; t8 Q+ K: L3 n3 z: d: r7 o$ q8 Q
0 |* v7 J8 X: N C6 M; `( r7 X! b3 c 1、网站弱口令getwebshell 8 R7 W% [1 F# F' J% L% U% c
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图: . k6 m, N0 Q; [* U* o) c
. [4 N+ P% B/ C- E

. \9 `/ S2 m3 A
) P$ u5 X9 f0 R% v4 o9 c& p8 G
- z6 y, B5 g+ [9 a/ \; d1 l& i然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图: ( i! m6 [7 J3 ~* i
 ( U9 @+ q6 ~ v w" [* z1 F
E3 T: j% `$ D7 y2 \" _; {- G
- c6 K: K* O4 I
2、各种方式尝试反弹3389 * b' \% W* ]9 H8 i! V; s
拿菜刀连接执行ipconfig /all,发现是内网,如图: : V' h* S, n: c b$ ~
 2 T; l" O8 ^/ g, p" R+ }
: E; W, f) Z4 Q4 v; c6 j/ ]! q4 X* I服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下: $ L) a1 r& m/ n/ _% @# f$ _
1 f _1 H7 @3 M$ J! f" V) b) C
TCP/IP筛选在注册表里有三处,分别是: ( \& a. x- ?" W! p: r! ]7 y
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 x4 l. M/ v2 A5 D$ ZHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
" ~0 ?' q! [0 CHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 1 c/ }3 o+ A5 l/ \0 `; C5 f
& q7 [. `8 u% v; f1 n- a' g9 ]
导出到自己所指定的目录进行修改: & H& D0 N. }" \* ~' x/ P
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip # v: _( B4 x: z9 R- L/ [$ y
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip ! Y# _0 p, @; \- p5 y
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip - v4 `! j" }+ t' q
+ K" G5 F; E& R: y2 u然后再把三个文件里中的: 2 Y2 e. @0 m, @2 H0 a% i* i: x: T. T
“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
6 ], o; W! w/ y R! }再将以上三个文件分别导入注册表: 6 N% T6 F5 V3 q* J, ~9 ]- i
regedit -s D:\网站目录\1.reg
7 o+ V j" n& j7 h& V/ Iregedit -s D:\网站目录\2.reg ! Z) N; k4 H% o! i: w5 e2 s
regedit -s D:\ 网站目录\3.reg
9 U2 l( i$ d4 f8 R1 M$ Z# d: O重启服务器即可!
; n0 l+ L3 W/ g/ o+ N/ y6 r2 O+ e但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行 ) b% [7 L% f# P/ p" {- L0 E" I
" c* p( P! t# d% l 4 r) t# {8 p' ^" K
7 x* O6 z* S" o
然后还需要安装个程序SocksCap,然后加载如图: ( s8 a$ f- I, ]" K: S
( }+ l9 j- F, p1 x3 v

6 s0 {! d& I1 a3 Q5 ^& d下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图: $ X& S2 e. `, T2 X g+ O
$ K9 ^- R b4 [9 { h3 t
3 o* i* l# d4 T& [2 b# f0 ~
$ Q! U, R9 Z8 d) _2 C5 T
( r8 D. w5 _2 N+ S既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
. [9 ]* x) c; v' O5 z6 E : y- U2 W, {; Z' g; o
# H5 ^7 Z4 }0 I9 x

4 `; U8 K% j9 j+ Y, v( K
$ q: y0 k! B3 D) I7 d- g& |2、数据库提权与ms15-051提权双进内网服务器 # ] P- V1 u$ C, ^& C
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图: 8 K9 J$ S3 f7 ~% x
 8 j6 f$ s0 \8 w) J- c& p
" ? A2 S- t6 B8 ]2 M
( o0 L9 y$ D) N$ d8 f
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图: , f0 q9 f+ C) T" [
J; ~) V6 R- U: c
4 {. E4 k: N- r' D2 D% [
! e* j$ t. V: Q; \9 z' q同样添加账号密码,终于进了目标站的远程桌面如图: . [! x7 C/ m- {# i2 d; q% b2 E

) ~* N& m; ] s' U总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 : n% L$ D! _; s, U
% z5 w* U7 a2 P. e9 Y/ [, A0 b/ {
# o7 J6 G7 W) P+ P2 g) {, q
6 [& u1 J- v$ M6 H* A7 [ |