|
7 P' i. S9 \) ^, P! l$ f
9 @8 _1 _% P$ ]3 m
0 Q6 K/ p& a* h
1 t9 G& I [ s, t6 q2 ~
1、网站弱口令getwebshell
- e+ u7 L( d2 ?- X
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
0 k% l" q2 Y* ?" E+ u
8 W) W- r e, o% V6 G2 Z5 Y! b
3 b* E1 L* I% A* W. C
& u% i9 d3 N( l' n1 p
8 p: j( J8 B7 s0 B0 I' E+ Q! [5 \
然后去找地方上传,上传的时候发现虽然配置了asp、aspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
8 y# @1 L9 \# ~
8 V5 ~8 V, L+ W: g+ }% n& D
$ z/ W( V/ n0 f& \
9 @% k. e7 E8 b, G/ N
2、各种方式尝试反弹3389
K: g% w" t3 D+ E/ A$ A# V! u
拿菜刀连接执行ipconfig /all,发现是内网,如图:
: b3 y6 H0 N1 v- M+ O5 O/ S) j! R! j) ~
7 c j, n2 h/ c! k) L
: A9 P1 L" h2 b' ~6 i" `" L服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunna,reDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
5 P, Z& p0 y/ r+ h, }
9 `1 [# \* P) v# K# z/ K6 G' yTCP/IP筛选在注册表里有三处,分别是:
4 Q8 r5 m7 m6 T) {( w
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
! X# N1 v. u5 w, f" a. U( H( r
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, g3 i# W+ \, A7 i1 ?1 l- Z+ l
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
5 @& d0 ^7 N- L5 G, ~" V, }
z4 @; y" @$ L
导出到自己所指定的目录进行修改:
* z9 z" o% j) s% D3 j
regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# ]5 D7 E6 f! Q$ Z1 B, cregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 p$ v% i0 B7 _$ {6 Z) Wregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% d4 V Y8 `8 e% X, s5 j
6 U5 _* j5 k8 l6 c& ^, D然后再把三个文件里中的:
" r$ F* @+ I) o7 v* q“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
" e4 w, C6 [! H7 F
再将以上三个文件分别导入注册表:
2 |8 X9 X2 G5 Z# b4 q% T) B) o! S/ N
regedit -s D:\网站目录\1.reg
; P3 Q1 O2 K ~- e' @2 Q9 r
regedit -s D:\网站目录\2.reg
$ v8 q2 l) B' y* |$ A
regedit -s D:\ 网站目录\3.reg
5 t2 t, M2 H0 Y) A# M( _, `
重启服务器即可!
; ?6 J9 O% X, c$ _- G2 m* `5 S
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
/ L7 [! f: I. ]& `: D
5 B- k9 G: o5 m) X
9 m& f) k/ Q0 X; F$ V4 K
! u- R( K1 [5 F9 M7 Q# E3 H: \然后还需要安装个程序SocksCap,然后加载如图:
' {' v4 k5 A. W6 ~2 A- |
; b4 P' q8 H" P4 L. v
. G* {* B0 c; l0 U6 M
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
& b. G$ o2 g3 a5 ?+ J4 x
5 e2 u9 H. d* p; J
! f) R) B F. T" m: C) L1 D
) Z$ O8 p) a. `; w: O$ {5 ]
* F) y9 A( {+ M* V2 G既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
- O3 w% G! F% j$ f0 A
5 T7 ]# i6 C+ N2 }4 ? b$ L/ S
# @6 N" M4 B0 m" E/ f2 ^+ r9 Z! i
! ^, `' z) h* Y2 w- W+ v* F
; W0 z& C: k7 I& Y2、数据库提权与ms15-051提权双进内网服务器
- Q' o% z! }7 u- V; q( w. n3 hOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
4 M% ]. Q$ V! s, J
0 s5 G1 ^$ U2 {
! b# a; N. I7 k' s- q! Z4 x
) w/ b5 l3 b. D ^, A: ?5 s1 m" D
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
! M- Q$ c* f" A4 \
# G% T& K/ `6 U- Y
# u4 k# \6 @5 P1 _
( T; L! c( V- N: h, k' E
同样添加账号密码,终于进了目标站的远程桌面如图:
q6 k' Z! W& A! ~1 b
' _( O5 r( [5 ]6 g9 e0 N总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。
# C6 k& V2 [3 r; Z* c+ _ ! Z/ N6 M* ]* C" M2 \
4 S3 f: m& }/ u$ F: P7 u9 \' W
0 C9 P0 M6 Y& N. j2 c+ X
| 
发表于 2018-10-20 20:16:49
收藏
支持
反对