|
8 e! Y4 s' S5 ]6 J
6 {" h* e+ }% b$ Y4 f
9 B- @0 q: N+ U# r2 O& ~
4 m+ i5 o% y6 V+ X" ~
1、网站弱口令getwebshell
) u; T' k- M4 ?# u3 ~! O
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
" N( K" y. x* `% l& f: H
. y) V: u2 i0 \+ b6 x( U5 |
0 \5 F! e" G/ L# q' f
9 b+ o6 h1 z, p( s/ v) `6 @
5 Y R/ c' a# G$ K y0 \然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
8 ^4 O! s# J+ V* y# b
' a+ C L5 h7 o7 i- y
5 N* `$ v8 k! T: w& T: O! l
, r2 J* p' S9 z" _" N9 f' M# ?8 o; e
2、各种方式尝试反弹3389
) W" y2 N; `0 w- J
拿菜刀连接执行ipconfig /all,发现是内网,如图:
V* V* G0 |( W5 m: A
4 x' E- h% j( }0 `( K- P
8 f" o }% G/ k5 x( f服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
* G& y9 H( d4 S1 X7 D/ ~
0 P- g" B+ L8 o" B, |TCP/IP筛选在注册表里有三处,分别是:
% ]" X3 k) }" ^4 N3 g; [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
+ r" H: j$ A, f
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 H- {, z2 u% S) S; ^. b+ B8 p8 tHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
6 f9 N" P" r# n, B) {4 ~! i; A
. q8 b# {( R$ U+ J
导出到自己所指定的目录进行修改:
" c9 j0 o7 j3 ?+ s4 \) Hregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 f* q5 z/ _3 J* G' ~regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ B+ e+ H' F, l2 |/ K t" M
regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
6 v; v$ l4 S7 v; x, m& l b
+ n0 l. K3 @1 t$ U5 o! P然后再把三个文件里中的:
$ I# B# T% ?3 Q4 Z2 ~
“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
$ s$ ^0 T7 p0 Z9 z
再将以上三个文件分别导入注册表:
6 O% y" G. ^) Q: R( c: Q
regedit -s D:\网站目录\1.reg
3 ~9 `* G, }9 O/ P: J ^3 qregedit -s D:\网站目录\2.reg
. U4 K# N4 m+ v9 U/ v0 q: b
regedit -s D:\ 网站目录\3.reg
$ Y4 C8 E) h f! I- D. i3 d/ ]6 \
重启服务器即可!
! t4 j: e1 }7 _9 s, s但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
" c5 k3 B4 N& P l: o
, {) R4 S7 }% B$ q
; y, f# |# p4 G: g7 S
! D( n* M2 h7 ?
然后还需要安装个程序SocksCap,然后加载如图:
6 \. ] Y% d5 |
/ M7 t! K, ?, T/ \8 R9 g# q! h( F
# U/ x+ Z$ R: a7 {0 P" D% D
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
8 C7 T d# X' I" K' T' S8 z
7 j' `! S" \2 v* ?3 y% o
, E+ L) t/ h. I; m! O
3 _- d- f& X. B; o! `! b4 O& q
; V" _; w% t' C) u3 Y6 J既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
+ h' W/ e7 ~& M1 h2 [, F" P
8 S) l" e; a5 w7 A8 J# g: F" l, Z
6 B0 m: [; Z5 X9 Q4 m8 h7 g
0 W1 j1 N4 k( t3 j7 b% v
! a5 ^5 R. _; n) ~; t h$ } j4 K
2、数据库提权与ms15-051提权双进内网服务器
( `+ }3 X/ K! a2 b' r- C: R
OK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
8 I0 y3 Y. s) p# N
) K3 u3 c! @, G$ g, t! D
( t' m: s8 B' O: K4 j5 q" x; Z
1 [* y6 `) \7 w/ F4 p5 N添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
3 e( r) y/ r0 M, v; ~5 Y
7 v% h9 e% Y p8 W4 G
1 k; w, M) m6 }' v) w d" G5 J9 f% U; u
7 D- n. ]7 |+ @* A) H同样添加账号密码,终于进了目标站的远程桌面如图:
" a. q7 M# A& {; {: P% {! b
" N+ i+ C5 k4 B% y" U1 T
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
( v8 F# H/ w! F1 d 2 a) C$ J% @; z6 ~% i
* H1 ` _4 q( E
E3 ]5 k7 j5 {+ B5 J" `3 b- S' P) R
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对