; O" J/ x3 ]2 ^+ W, N
6 @: G! q2 j4 p8 o4 R* ?. G- P
1 n8 ?; A Y( L. a3 Z* K4 C4 J- ~, S: W4 Z* @2 w, j
1、网站弱口令getwebshell 4 E7 O9 c- Z! f% e& @; L, p
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
4 }5 h/ d6 Z" `7 U* Q! {7 P% u( l
9 j; s3 o' _' C2 ]2 | 4 [+ ]) \% Y( u1 v& x
; x9 {0 V& p3 r. c, R4 }2 ? - U" l3 ^6 P: n4 n: E1 U- |; h
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图: $ i5 z0 I* x; D5 g( f
" M$ {' g7 j- X0 S
0 R I5 s. n9 c2 c6 C N. d
}. }9 _3 B* n# j
2、各种方式尝试反弹3389 ; b; u0 Z2 t2 l0 S" V# _
拿菜刀连接执行ipconfig /all,发现是内网,如图: ) N; |7 h( M! N' ?
/ t: ~! V, x2 [+ Q: t
* V0 {% Z$ l/ [2 C3 E$ ]: h8 R3 n
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
% p: {* ~! U/ b( ^ 8 J! ]$ z; G3 b, `+ K
TCP/IP筛选在注册表里有三处,分别是: * q' V) P1 _/ A4 T% h7 f. K0 g: s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
* @, h5 b( y1 `; C7 BHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip % W, Q3 f! W% C
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip * n" d5 [5 h! g# m* j6 [6 Z2 X
i" i* x; @, J0 G# n+ N9 l
导出到自己所指定的目录进行修改: % y/ F5 A" d; ^$ X/ @8 }0 _; e/ Z
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip ( P% g6 X" U4 b7 w. X. k
regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip 2 |1 g @2 _1 Y: E# R
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
) K" o- Z6 u1 O ) p! n% b/ X" q9 K$ G
然后再把三个文件里中的:
) j& X9 D N& \; k“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000” * ?5 F& U# O8 P' y
再将以上三个文件分别导入注册表:
, u. v) N% o( }' v* H* r- J; p9 |regedit -s D:\网站目录\1.reg ' X9 ~2 I: M7 K/ C h% [
regedit -s D:\网站目录\2.reg
$ V. h9 z: i, n+ U3 z; Aregedit -s D:\ 网站目录\3.reg 7 e' @( E5 v: d5 V. w* S
重启服务器即可!
% c/ T3 L o6 g: `2 | N$ d但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
* F x4 G) B3 _# X# A
3 Z. {6 w0 r- ~4 R/ X) k ( q) W( n8 V1 l$ R8 l2 n. ?
. |& \% t5 Z* W7 t- P
然后还需要安装个程序SocksCap,然后加载如图:
- B* I& `- A" [6 K' w* _
! W- j8 f- s* X) g7 p - }6 V8 O; o3 o2 S3 i
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
0 w& S! v8 ~; x; H , J. [6 P( E3 S0 a; U
8 F, E& l; c4 s0 _
. T- G/ B/ x; Q7 B8 \( s: S
( w% n- }" {# c* p' U) b4 W既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
: @) N% A$ H, w2 ^: D
& [% r; L3 y0 Z3 w 2 N$ P$ R5 I6 t4 Z6 L9 ?6 r1 D6 _- L
( s$ ~% S* W7 d. [
8 D1 G! Y' i0 X5 I/ H: k2、数据库提权与ms15-051提权双进内网服务器
; Q! R1 ^! w- z" ?' \8 B' \OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
" Y: p6 c" Y k3 E4 E) z# Z
: j* e" b' T8 o' E 6 u& U+ |3 g8 f& \8 h
6 e6 }% W7 N- ^添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图: ) d8 S# O4 l3 J- J9 V0 N; E! P
) j- a. B. G [* i( V( L" B& R' I( r( _- [
1 y: Z/ R2 R: A$ N
! g9 ~0 J% e7 ]+ s8 m8 L: m5 P
同样添加账号密码,终于进了目标站的远程桌面如图: 0 ~" ~! E$ T5 J' ^) M, ~/ @
+ c6 w6 [4 S m- E! D总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
5 c4 U% E9 C; j+ M( |$ u : M1 |* |; t5 |& E- E
* c+ p; h. V8 n+ [$ Q H
! @5 e: l0 u( k8 y t8 ?0 D |