实战拿下某技校网站与服务器
2019-03-16
0x01:起因
闲的无聊与小表弟随便找站玩,最后盯上了一个看起来不错的技校网站,一翻思想的激烈碰撞之后,就有了这个文章....
0x02:信息搜集
经过一番信息搜集,得到的信息如下:
1. 网站脚本:aspx
2. 网站cms:siteserver
3. cms版本4.0
0x03:查询漏洞库
大家都知道siteserver cms的3.x版本存在很多比较严重的漏洞,在我对这个站点渗透测试的时候发现,3.x的“老朋友”在4.0版本已经被修复了... 所以,想靠着老朋友拿下这个站点就显得有点懵圈了...
心里大骂*管理......
0x04:别说话!干我~
我测试了一下,后台还是默认的/siteserver/,原先那个忘记密码的页面被删了,想挖逻辑漏洞的想法破灭....
罢了,拿出我NB的弱口令大法,与小表弟测试了admin,admin888,123456789之类的弱口令无果,然而用域名缩写成功进入后台...
FUCK(大写)
劳资实在是不想多说什么了,只想对管理员说:mmp~
好吧!事实证明弱口令是很重要的,进入后台直接使用全版本通用的getshell方法,成功拿下shell
这就是他们的后台,siteserver4.0网站后台,存在一处getshell的地方,在编辑内容的这个地方,我们可以直接把一个木马压缩成压缩包的样子,直接上传 然后木马在服务器端的根目录就会生成对应的马子,比如说我写入1.asp/1.aspx.rar 在服务器端会解压成1.asp/1.aspx,然后getshell
当然低版本的siteservercms 更容易,因为他后台权限很大.我们可以直接传入asp木马,成功getshell
0x05:提权~走你!
来到了我最喜欢的提权部分,大家都知道Aspx的木马的权限都非常大!但是这个站上面安装了一些防护措施,提权之后就看见他安装了360全套大礼包....mmp
不过,再牛逼的防御也死于后台弱口令....
言归正传,开始我们提权之路,一开始我想看看这个马子能执行什么命令
当我发现可以执行set
但是之后发现它无法添加管理员,我就想着用别的思路,看了他的子域名,发现有php的站点,我一开始以为它开了3306,后来执行命令看了一下发现3306已经被改成8806了 .....我就放弃了这个想法....
卧槽!看!它开了1433端口
他把端口改成
了1434,然而在我一波猛虎下山式的操作之下,发现1434权限也不大,无法执行cmd
然后我决定掏出exp神器!ms14048,ms16-032 无脑秒杀,真的是无脑!
可以秒?我的内心是崩溃的
0x06:提权之后
我登上了服务器的administrator,发现这台服务器有个共享盘,并且里面有很多敏感数据,这些数据让我想来一波内网渗透了,由于时间关系,睡觉了.....可惜第二天在我想进行下一步渗透测试的时候,没有想到管理员会在线,对,我把管理员挤掉线了,此时情况大家应该明白。。。我的administrator...没了
我就想怎么恢复权限。。。但是当时管理重启了服务器导致我的cs后门不能用了,没办法啊我们只能掏出exp提出一个管理
当时,我在服务器上用mimikatz没抓到密码,但是我在cs上的mimikatz竟然可以抓到密码....6批
我tm。。。。烦唉,之后再登录管理帐号........发现狗管理做了策略,,,还把共享移除了。。
哇mmp内网渗透一波那么难???然后我又做了个隐藏账户。准备晚上搞他的(然后当天晚上*管理删了我账户,但是他自己的密码没有改)我开了那个策略不能远程连接我很蒙蔽。。。应该是改端口了
唉!你懂得。。。。。
呵!这个管理员~你等着,我会复仇的~
欲知后事如何.....
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。
http://www.pinlue.com/style/images/nopic.gif