黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

一次渗透

  页面是一个登入页面,一个二级域名

  image

  找到图片链接地址然后在链接后面加上/.php成功解析

  http://xxxx.xxxxx.com/images/login.jpg/.php 7

  image

  现在已经确认有解析漏洞,只需要找到上传的地方就可以了

  翻js文件的时候在里面发现了kindeditor,也得到了路径

  image

  http://xxxx.xxxxx.com/include/plugin/kindeditor/php/upload_json.php

  现在来构造一个上传的html

  准备好一句话木马将后缀名改为.docx,然后选择上传,成功上传得到地址!

  image

  image一次渗透

  http://xxxx.xxxxx.com/upload/Experience/file/2020/02/3_200206185133.docx

  现在拿出我们的蚁剑,添加连接

  image

  成功连接,只有www目录的访问权无法跨目录

  image

  接下来试试看执行命令,无法执行命令,得到系统2008

  image

  看了一下phpinfo被disable_functions了

  image

  然后我突然想到主站是个asp的站他肯定支持asp,二话不说上传了asp一句话,成功执行了命令! 一个iis权限,现在也可以看整个D盘不再是www目录

  也支持aspx试了一下跟asp一样权限也只能看d盘

  想执行一下tasklist却发现执行不了,systeminfo也没办法执行

  直接上exp,执行时候也被杀了,我在目录里面翻到了360

  image

  通过exp提权是行不通了,因为我没有免杀exp,也没办法执行systeminfo也不知道补丁情况,现在看看有没有第三方软件能够利用了

  翻了翻文件夹找到了个FileZilla_server

  image

  看了下端口14147也开放

  image

  看了FileZilla Server Interface.xml文件我们可以看到它的连接地址:127.0.0.1 及端口:14147,密码这里为空。

  image

  但是14147端口在内网,无法直接访问,lcx nc等上传均被无情秒杀。

  reDuh工具可以把内网服务器的端口通过http/https隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

  本机——-客户端———(http隧道)———–服务端——————内网服务器

  服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本机执行最好装上JDK。

  把服务端的webshell上传到目标服务器,然后访问,我这里是用的aspx的

  image

  命令行下用客户端连接服务端

  java -jar reDuhClient.jar http://xxx.com/upload/Experience/file/2020/02/r.aspx

  image

  使用nc本地连接1010端口

  image

  连接成功会有欢迎提示,之后输入命令

  [createTunnel]1234:127.0.0.1:14147

  前面的1234是本机连接用的端口,中间的ip地址是目标服务器的(可以是webshell所在服务器也可以是和它同内网的服务器),后面的14147是欲连接目标服务器的端口。

  image

  成功将14147转发出来了!

  打开FileZilla,连接本地的1234,密码为空

  image

  成功登入

  image

  添加个用户

  image

  权限都点满

  image

  然后使用winscp连接,可以读取C盘文件了

  image

  这里替换了粘贴键为cmd失败了不然可以用5下shift调出cmd

  到这里也测试了一些web上的密码去登入3389也无果,mysql数据库也不是root

  到这里当时已经是半夜了我也就睡了。

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » 一次渗透
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜