|
8 s N/ } Z4 P# R, e* d
\% Y8 [/ w2 V8 O' y4 w
% N0 j1 U7 P6 A8 V: W& N* O
! h# G9 L2 d$ [6 f5 j 1、网站弱口令getwebshell
( X6 t# k3 U4 X9 s
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
, m/ B, Q$ |$ _9 ?
2 i+ ~& Y, P; B! ^9 T0 e' i, _' N
* v3 g+ {! [: f2 n
( c# m5 t4 i& t% y' D; a ^5 @
9 Y- x: q) x/ O6 U( y' k; g然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
0 N& r3 ^0 y+ V! R- r# _
+ I, L- y; J# R- |5 _) T$ n$ ~1 c
1 R% \- e: ?" x$ b# ]# s
8 K/ m# ]" y# n$ r2、各种方式尝试反弹3389
$ j7 G% X9 I# Y+ e拿菜刀连接执行ipconfig /all,发现是内网,如图:
! [0 A) `; J' r" n
9 M9 B6 R/ Q4 D5 R) b; l2 ?
: ~5 h/ E: `7 B0 b& g( h
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
% b9 A- S8 c! g+ u# g
. @5 m" k1 L3 }' t$ E3 |
TCP/IP筛选在注册表里有三处,分别是:
" Z/ N: }* x$ C" c, @" J
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
6 P0 |7 b6 m: }; a9 HHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
) b" t- g' N! c6 `5 D) s. g% r8 rHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ M% q% A- n1 N1 l8 K
& t" E/ A9 |% c, ~ _0 I U导出到自己所指定的目录进行修改:
! T, V W5 m6 a, mregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
s. ?* r7 o+ v- S4 j! dregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 g) g1 n1 N: W$ G eregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
7 A3 k- r/ }& p2 G- N
+ T. G$ _( `5 J- n- e3 y然后再把三个文件里中的:
( o4 c& @1 k7 Q“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
, G6 W+ n3 k/ k
再将以上三个文件分别导入注册表:
" [9 y8 D$ x* V) J1 h' S+ mregedit -s D:\网站目录\1.reg
7 ]! ]4 @; n( T5 @0 mregedit -s D:\网站目录\2.reg
. Z* Y* |0 _' j! Y- y/ S% H' zregedit -s D:\ 网站目录\3.reg
' M! G$ c: _% f4 I
重启服务器即可!
. ^$ A0 e# V" P* i) w4 n
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
8 `/ N, D C! U, I. ~0 ?0 ^: [
" F/ y* ~" C. b6 X* L# @6 Z
6 z! p) r8 _) `! p# U# i8 H
: \! l# e7 ~" ?! ^/ Z8 E3 Y
然后还需要安装个程序SocksCap,然后加载如图:
, P+ o( w/ b4 ?
" w3 l1 | P! _3 @2 o# e
+ [9 t) i4 L" K# D2 F; J% W! M下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
6 A( V& @) d+ ^; w' J( N8 h% L
9 |$ V9 Z2 x" q& |5 |. ?% w6 F
- Y' A+ N5 f3 z) d- z
2 d2 r, Y5 A! e! {& J
9 T( m! X1 V( t
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
0 U" b6 R3 o. j4 F/ s& ~" u1 x# u+ p
7 |0 l* c- d( w: b% s' B; }
1 n* \, S" E! C _+ |* E) B
( {7 _3 x; G) M& F9 M3 ^' z3 `. U
- Y3 J5 U4 H. Q# N2 t9 u# }2、数据库提权与ms15-051提权双进内网服务器
- C/ ^2 \; ~4 r+ x1 ?" MOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
" b& \1 u4 M. M4 o5 ]8 C
9 \; C$ |2 f6 e
+ z( h/ @+ f% e; T
% v( z+ u( A; \* G/ Y; {3 Y0 Y
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
$ c% R* {, Q$ R* g
0 n2 S$ G2 w O2 [; O% ~' x6 Z
4 x2 c5 N1 E( T5 |
$ r( ^6 E0 }% k同样添加账号密码,终于进了目标站的远程桌面如图:
- ^0 H# c* V$ [% ^/ i& w
! F- ~! p, }; J' s7 P- D2 q总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
! I t5 @ ]$ R" H 1 t; p i+ A+ h# c2 i, Q1 V7 Q
& G: U# O$ P) Z( m# U
5 `, H1 m! K" ?3 q$ C( c# L
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对