|
( L5 r2 p8 D2 y/ x# ?9 i3 X5 Q/ L
* {2 g! n1 a' M {. Y
9 I5 A$ m& T7 U
9 I5 X" c! R& D% y 1、网站弱口令getwebshell
% y& x Z: N- ~+ `经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
1 ^# m* w) B2 @' {5 F$ h6 P
1 W! K/ W0 V# p% Z4 M: O
! Y" l/ q1 A6 k: F$ p
% y% i: t: ?7 s+ m7 X8 F8 C1 h" ?1 ]6 B
5 m! m9 K7 [' Z% @2 V. X! R6 P然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
" u4 \' d2 y+ Z6 x! k
0 I2 U3 V. L* K/ O! c
# `( o2 h% l* ^; @2 O/ ^
0 X! F9 y) I4 {! ?; W" G2、各种方式尝试反弹3389
, } \' V& Z3 H8 V拿菜刀连接执行ipconfig /all,发现是内网,如图:
" s3 r6 M9 U+ }! i8 s
) B! r" m$ b! Z; }4 j+ S
# p. J% R: n( E9 [2 f4 I
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
2 q$ e+ S" O9 ?# q
1 [% W0 c* v( ~% y4 o7 N) H
TCP/IP筛选在注册表里有三处,分别是:
. k$ g3 V" P) }# h9 u* G8 R8 HHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 T* x2 S2 m, t. D3 I$ v
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 @( J4 V7 n( e: [
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
! U6 c2 J, D+ l6 r8 Z* U
8 t& t* F, q5 F' c导出到自己所指定的目录进行修改:
! y2 S% u8 p1 o: ^% mregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
* R; X9 R5 q+ J% a8 _' m
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
& u' _* e5 C& o; g3 }
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& k3 @- R B( a- s, f8 L
! A% f9 {3 W! P n: L* {& Z
然后再把三个文件里中的:
# E7 J: a* E0 V- t7 [) p' i! M
“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
0 ~1 X& L3 `) E! }, i再将以上三个文件分别导入注册表:
9 @! m1 |# c) C) m8 N5 _: {regedit -s D:\网站目录\1.reg
$ j8 R) l$ {5 L! F: c
regedit -s D:\网站目录\2.reg
+ u9 X# C) ]9 y/ ?2 qregedit -s D:\ 网站目录\3.reg
, `, P9 m, n* w7 }- p0 i1 E6 E. i
重启服务器即可!
& I" C* A$ {7 i: o! T4 U4 U# t: R
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
6 \9 W* D A" E) v- c
7 ~2 Y' T& M& ~1 Z
7 D% z3 Z. v6 I9 X
5 e9 m3 C" k) y$ p3 X1 z
然后还需要安装个程序SocksCap,然后加载如图:
; @( Z; D. _& t4 P4 s
5 c3 [2 ~$ @6 W7 V$ |
+ X* k# p) Z4 f! G0 F" E" ]" x下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
- }- F, ^+ K# [7 J
$ k5 ?& y$ e0 u6 s8 P' ~
) j. y3 B( b7 Y' g# y( f
* D# H% E5 X5 O$ m; H
4 t* E2 L2 d# { y7 H
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
9 g( `* F) U7 L! `7 Y. o, V
+ `% Y6 C1 N$ [& W
& `) e9 k- W0 M+ K8 W0 |
. Z. V' L* m. Y
5 [. `) w" b$ D9 i2、数据库提权与ms15-051提权双进内网服务器
% f" I) Q4 o/ AOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
) C4 Q9 A' n& A* K
3 C3 a! w/ A; q4 ^0 S8 [2 f
& J6 }* [1 ?8 C% J
) e$ r% G; @- ?添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
) X; x- T: L% U9 s5 B" F
4 X& v7 c5 K. s3 \5 G) E3 U1 U
& F$ s% z( u" O$ h) ]: x
4 }1 \1 R$ N/ W1 X" L3 Y" y同样添加账号密码,终于进了目标站的远程桌面如图:
* T# L! v3 V" N' H9 y
' D8 p7 q; @5 `# u- m% {
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 7 E$ B1 V n u: Y$ w
! k& }) e/ U$ x2 F: k
1 j% A5 }; I& \
/ _( ^# r) P, J/ Y8 X9 y | 
发表于 2018-10-20 20:16:49
收藏
分享
支持
反对