Windows版宝塔bypass到RDP登录

admin 2023年6月5日19:29:24评论78 views字数 1735阅读5分47秒阅读模式

声明


本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!


Windows版宝塔bypass到RDP登录
01 背景

在一次攻防演练中,利用漏洞获取到一个webshell,站点是php的,最后发现这个webshell的权限竟然是system,但是无法执行命令,最后发现是Windows版本的宝塔,结合网上各位师傅的文章,在这里记录下如何bypass到3389登录的。

02 getshell

直接上webshell,上了蚁剑、冰蝎、哥斯拉,发现没有waf拦截,上蚁剑,windows的机器,权限很高是system,执行命令,发现都是返回错误:

Windows版宝塔bypass到RDP登录

使用哥斯拉看下,可以看到就是宝塔:

Windows版宝塔bypass到RDP登录

同样在fofa上看到开放了888端口,其实就可以猜是宝塔了:

Windows版宝塔bypass到RDP登录

这是官网关于面板的介绍:

Windows版宝塔bypass到RDP登录

既然是Windows版本的bt的话,那这个webshell权限就是system是没有问题的,现在就是想办法拿bt面板或者bypass执行命令了。


03 宝塔bypass之路

bypass宝塔之前,也看到过替换php.ini文件、mysql提权的,但经过测试都是失败的,因此在这里尝试直接拿下宝塔面板。


3.1 寻找宝塔后台

通过参考师傅的文章,找到了宝塔的路径信息:

C:/BtSoft/panel/data/admin_path.pl


发现路径:/xxxxxx

Windows版宝塔bypass到RDP登录

一般来说,宝塔的面板默认端口就是8888,因此直接加上之后访问:无论是内网还是外网,发现依旧访问不到:

Windows版宝塔bypass到RDP登录

最后发现,自己找偏了,宝塔面板的端口信息是保存在宝塔的配置文件里面的,开发者修改了bt修改了默认的访问端口, 通过查阅资料,在这里发现了相关信息:https://newsn.net/say/bt-login-reset.html

宝塔的配置信息:

路径相关配置文件如下:面板域名,/www/server/panel/data/domain.conf面板端口,/www/server/panel/data/port.pl安全入口,/www/server/panel/data/admin_path.pl授权IP,/www/server/panel/data/limitip.conf

开始翻文件,最后找到了端口:xxx

Windows版宝塔bypass到RDP登录

找到之后,拼接访问,其实这个面板地址在内、外网均可访问:

Windows版宝塔bypass到RDP登录

3.2 登录面板后台

现在路径和端口都找到了,开始找面板密码,面板的密码是保存在data目录下的default.db里面的,直接下载到本地,然后使用工具打开之后,开始修改:

Windows版宝塔bypass到RDP登录

Windows版宝塔bypass到RDP登录

宝塔的密码是加盐的,无法直接通过hash解密,所以在这里要替换或者是新增:

在这里要分为两种宝塔来操作了:

  • 如果是老版本宝塔的话,可以再添加一个用户来打开,在这里可能不太准确,我以前发过linux版本的宝塔是可以通过添加用户来新增登录的,但是后来新版宝塔就无法再使用新增用户的方法来操作了,必须替换才可以,但是Windows版的我就不太清楚了

  • 如果是新版本宝塔的话,只能够修改密码,登录成功之后,再修改回去,这个是linux版新版是这样的,但是Windows的我确实不太清楚

也可以前往github下载:

https://github.com/crow821/crowsec
Windows版宝塔bypass到RDP登录

将这个值以及盐的值,以及账号等新增到里面去试试看,在这里先尝试直接新增,如果真的不行,到时候再替换,因为替换太麻烦了:

Windows版宝塔bypass到RDP登录

修改之后,将文件替换下:

Windows版宝塔bypass到RDP登录

记得在替换之前,将原来的文件进行备份,防止出现意外,数据无法恢复。替换之后尝试登录:

Windows版宝塔bypass到RDP登录

在这里运气比较好,直接登录成功。

3.3 宝塔任务计划添加用户

进了宝塔面板的后台,并且权限是system,在fofa上看到该服务器开启了3389远程桌面,所以在这里通过计划任务添加用户:

Windows版宝塔bypass到RDP登录

Windows版宝塔bypass到RDP登录

添加之后,会自动执行一次:

Windows版宝塔bypass到RDP登录

执行成功之后,记得及时删除这两个任务计划。

3.4 3389远程登录

直接尝试3389

Windows版宝塔bypass到RDP登录

04 总结


Windows版本的宝塔好像比linux版本的宝塔好绕过一点。

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:[email protected]

文章类型:黑客极客技术、信息安全热点安全研究分析安全相关

通过审核并发布能收获200-800元不等的稿酬。


更多详情,点我查看!

Windows版宝塔bypass到RDP登录
靶场实操,戳“阅读原文“

原文始发于微信公众号(合天网安实验室):Windows版宝塔bypass到RDP登录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日19:29:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows版宝塔bypass到RDP登录http://cn-sec.com/archives/1783924.html

发表评论

匿名网友 填写信息