拿下网站服务器,实战拿下某技校网站与服务器

实战拿下某技校网站与服务器

2019-03-16

0x01：起因

闲的无聊与小表弟随便找站玩，最后盯上了一个看起来不错的技校网站，一翻思想的激烈碰撞之后，就有了这个文章....

0x02：信息搜集

经过一番信息搜集，得到的信息如下:

1. 网站脚本:aspx

2. 网站cms:siteserver

3. cms版本4.0

0x03：查询漏洞库

大家都知道siteserver cms的3.x版本存在很多比较严重的漏洞，在我对这个站点渗透测试的时候发现，3.x的“老朋友”在4.0版本已经被修复了... 所以，想靠着老朋友拿下这个站点就显得有点懵圈了...

心里大骂*管理......

0x04：别说话！干我~

我测试了一下，后台还是默认的/siteserver/，原先那个忘记密码的页面被删了，想挖逻辑漏洞的想法破灭....

罢了，拿出我NB的弱口令大法，与小表弟测试了admin，admin888，123456789之类的弱口令无果，然而用域名缩写成功进入后台...

FUCK(大写)

劳资实在是不想多说什么了，只想对管理员说：mmp~

好吧！事实证明弱口令是很重要的，进入后台直接使用全版本通用的getshell方法，成功拿下shell

这就是他们的后台，siteserver4.0网站后台，存在一处getshell的地方，在编辑内容的这个地方，我们可以直接把一个木马压缩成压缩包的样子，直接上传  然后木马在服务器端的根目录就会生成对应的马子，比如说我写入1.asp/1.aspx.rar 在服务器端会解压成1.asp/1.aspx，然后getshell

当然低版本的siteservercms 更容易,因为他后台权限很大.我们可以直接传入asp木马，成功getshell

0x05：提权~走你！

来到了我最喜欢的提权部分，大家都知道Aspx的木马的权限都非常大！但是这个站上面安装了一些防护措施，提权之后就看见他安装了360全套大礼包....mmp

不过，再牛逼的防御也死于后台弱口令....

言归正传,开始我们提权之路，一开始我想看看这个马子能执行什么命令

当我发现可以执行set

但是之后发现它无法添加管理员，我就想着用别的思路，看了他的子域名，发现有php的站点，我一开始以为它开了3306，后来执行命令看了一下发现3306已经被改成8806了 .....我就放弃了这个想法....

卧槽！看！它开了1433端口

他把端口改成

了1434，然而在我一波猛虎下山式的操作之下，发现1434权限也不大，无法执行cmd

然后我决定掏出exp神器！ms14048,ms16-032 无脑秒杀，真的是无脑！

可以秒？我的内心是崩溃的

0x06：提权之后

我登上了服务器的administrator，发现这台服务器有个共享盘，并且里面有很多敏感数据，这些数据让我想来一波内网渗透了，由于时间关系，睡觉了.....可惜第二天在我想进行下一步渗透测试的时候，没有想到管理员会在线，对，我把管理员挤掉线了，此时情况大家应该明白。。。我的administrator...没了

我就想怎么恢复权限。。。但是当时管理重启了服务器导致我的cs后门不能用了，没办法啊我们只能掏出exp提出一个管理

当时,我在服务器上用mimikatz没抓到密码，但是我在cs上的mimikatz竟然可以抓到密码....6批

我tm。。。。烦唉，之后再登录管理帐号........发现狗管理做了策略，，，还把共享移除了。。

哇mmp内网渗透一波那么难？？？然后我又做了个隐藏账户。准备晚上搞他的(然后当天晚上*管理删了我账户，但是他自己的密码没有改)我开了那个策略不能远程连接我很蒙蔽。。。应该是改端口了

唉！你懂得。。。。。

呵！这个管理员~你等着，我会复仇的~

欲知后事如何.....

免责声明：本文仅代表文章作者的个人观点，与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺，请读者仅作参考，并自行核实相关内容。

http://www.pinlue.com/style/images/nopic.gif