前天下午,风和日丽,我呆呆的坐在电脑前,思考着我存在的意义。这时,大佬突然走进机房,扔给我了一个靶机,让我搞定它。瑟瑟发抖的我,也不敢问什么,扛着靶机来到了一个没人的地方。打算花些时间来研究下。
于是我便花了一天半的时间,将他从一个网站渗透到了服务器并提权(大佬说一般情况下没做过类似靶机的人一个半小时就能搞定)。由于本人萌新,第一次做,也是第一次成功,很开心,于是记录下过程并总结一下学到的经验。
靶机:
系统:Windows2008 R2
容器:iis7.5+asp
IP:192.168.111.177
攻击机:
系统:kali
IP:192.168.111.179
`拿下服务器权限,并能远程登陆上去`
拿到靶机,第一件事,就是先收集靶机信息,上神器nmap:
80,135,445,49155四个端口,80端口先放一下,
看到445,立马想到了ms17-010。
再使用nmap,针对这个漏洞探测一下:
很明显,445端口不存在漏洞(最后大佬告诉我,他打了补丁的),那系统漏洞可能就没有了,有80端口那就利用web漏洞了,行吧,收集web信息吧。
记一笔:iis7.5+asp(iis7.x存在畸形解析漏洞,等会可以看看是否能利用)
发现一个/admin后台,其它的就没什么用了,再记一笔
其它的貌似没有了,那就直接访问页面看看网站结构吧
首页
并且在页面底部直接就存在后台管理:
点进去看,页面内容:
登进去,用户名,密码直接有,什么意思啊?这么容易?心里嘿嘿嘿~~~,结果只是闹着玩儿的,这玩意密码错误,无果后,还是记下南方数据网站管理系统 10.0吧,等下说不定能用上。
信息收集到此结束
统计一下,有如下信息:
```
端口:80,135,445,49155(不存在系统漏洞)
容器:iis7.5 + asp (iis7.x存在畸形解析漏洞)
cms:南方数据网站管理系统 v10.0
```
大概了解了一下网站结构,首先我想到的是拿后台(后台)注册会员,利用会员登陆,看看有没有什么可以上传的地方,找了一圈发现没有,
便开始尝试查找sql注入,各种链接点,提交单引号,都是提示:
过滤太多,暂且先放弃一下,还是直接去搜cms漏洞吧,nice,
有一个直接爆账户密码的0day漏洞
参考文章:http://www.vfocus.net/art/20110511/8986.html
MD5解密,密码为roottoor,得到用户名和密码,admin:roottoor
登陆后台:
直接找上传,哇~上传点还挺多:
几种上传绕过的方法:
经过以上的上传绕过测试后,无果,
并且iis7.5的畸形解析漏洞也无果,最后查资料发现,
这个畸形解析漏洞只对php适用,他只是php的cgi配置错误导致的,https://blog.51cto.com/zhpfbk/1878421
再记一笔。
我尝试了所有我能想到的上传,均无果,于是我换了下思路,看看能否再添加配置文件信息;
试一试,这不试不知道,一试吓一跳:
在任意一框内添加<%evalrequest("a")%>,保存,
哈哈,网站崩了~,害怕,还好之前拍了快照,恢复继续,
所有这里注意一下!!!,后台配置插入一句话,一定要慎重,慎重,慎重,特别是asp;不然会GG掉,这里有一篇关于后台插一句话的小文章
http://www.voidcn.com/article/p-ouluixwu-pr.html
回头再去试试(/坏笑脸),当时其实还试过闭合插入,也是一样的崩,试过几次,就放弃了(因为是第三次我才开始拍的快照,难受),最后实在没有办法了,我就去google了一下,最后找到了一个方法,上传文件配合备份数据库成功上传shell。
http://www.myhack58.com/Article/html/3/62/2012/35900_2.htm
菜刀连接,发现各种无权限,只能添加文件,和部分读文件,后来又上传了大马尝试提权:
结果依然不行,毕竟我是萌新,对提权这块经验还不足。后来问大佬,他让我尝试反弹shell到meterpreter上试试,继续使用神器:
shell进去,查看权限,果然是iis权限:
命运的使然,我没法直接getsystem,然而偷令牌,我也没有找到管理员运行的进程,漏洞模块也无法利用,啊啊啊啊~我真的没招了;
最后只得找大佬,最后他给了我一个exp,
利用该exp成功提权cve-2018-8639
exp地址:
https://github.com/ze0r/CVE-2018-8639-exp
不知道为什么 ,这个exp不是很稳定,执行命令时,有时会卡顿,这里告诉大家一般人我都不告诉的别人小方法(跟着大佬学的),直接利用菜刀,写bat文件执行,出错就会减少很多(其实我是知道很多人都能想到的)。
然后就是 添加用户,并升为管理员组:
到这里提权就结束了。但是我们的任务是拿到权限,并能够远程连接上去。
这里有个问题我开始就发现了,但是没想那么多,无法ping通主机,到这里我才想起它应该是开了防火墙的
这里根据我们之前收集的信息我们需要做的是
```
1.开启win2008的 3389端口
2.关闭防火墙
```
开启3389端口:
关闭防火墙:
最后通过kali的rdesktop 远程连接到服务器:
虽然这次的靶机,难度不是很大,很多漏洞都能Google到,也没有特别的知识点,但是在进行漏洞检测的时候,还是比较考验耐心的,而且我认为能把不同的漏洞整合起来学习,也是考验人的。并且在对靶机的整个渗透流程中,会对渗透测试的流程更加的了解和熟悉,从信息收集----漏洞探测----漏洞验证----信息分析----漏洞利用----提权,甚至到后渗透和内网渗透。由于知识水平暂时未达到,也就只能做到提权了。
靶机地址:
链接:
https://pan.baidu.com/s/1TCNrg34ayVY77KbImb-wvw
提取码:9iyd