本文通过本地环境,完美复原此次拿下Webshell的过程,后续内网渗透的内容本文不撰写,勿问。此次拿下Shell,只能说是踩了狗屎运的同时,包含一丝丝技术含量。
拿下本次Shell涉及几个知识点:PUT请求(可用来上传、创建文件)与MOVE请求(可用来重命名、移动文件);IIS解析漏洞;免杀ASP Webshell,绕过3**杀毒实时监控。
6、配置网站根目录权限,配置来宾用户拥有所有权限;
7、安装最新的3**杀毒,打开设置,实时防护设置-监控所有文件。
设置完如上内容,就与目标系统的环境、配置情况基本完全一致了,接下来,我们来完美还原此次过程,思路仅供参考。觉得菜,你就喷,喷我就是你强。
哟哟哟,这个我没记错的话,应该是有点什么。这边我们直接可以改成OPTIONS请求,看看目标是否持我们预想的请求方式:
可以看到MOVE请求是支持的,没有看到PUT对吗?没关系,当你看到UNLOCK,一般就说明PUT是包可以的。那么,我们先来简单的传一个txt文件:
PUT /xilizhu.txt HTTP/1.1Host: ip:端口123
此刻我欣喜若狂,想象着直接传马,说干就干。尝试用PUT直接上传创建ASP文件,我透密码的,返回404……
既然传txt是可行的,但是直接ASP不行,那么我们就先通过上传创建TXT,然后使用MOVE请求重命名文件。说冲就冲,OK,创建成功,我直接就是一波访问:
日内瓦,怎么个事?难不成是特么有脏东西?还是不支持脚本内容?此时我也不知情,所以我们来确认一下,传无风险的脚本文件能不能正常执行:
OK啊OK,没被删除,接下来我们使用MOVE请求重命名:
MOVE /目标文件名 HTTP/1.1Host: ip:端口Destination: /更改后的文件名
原目标网站,在此处直接重命名为.asp时无法成功,最后通过利用iis的解析漏洞特征进行重命名,最后成功执行:
返回401不用管,我们直接尝试访问更改后的文件路径即可:
事已至此,我们能确认一件事:目标机器上面装了脏东西,所以我们需要免杀马来绕过脏东西。至于为什么知道它是3**杀毒,这是后面拿到Shell查看进程发现的:
此时,问题来了,没有免杀马怎么办?这里给大家推荐几个思路:
3、没实力,还舔不到,那就几把别打了,洗洗睡吧。该洗脚洗脚,该按摩按摩,你TM折磨自己干什么?
本来想看看支不支持aspx的,因为有一款工具生成的aspx马是可以免杀的,但是特喵的,aspx搞不了,其他的也一样,ashx、cer均无法执行,返回结果如下所示:
所以想拿下只能走ASP免杀马这条路。过程省略……不多逼逼,直接就是拿下:
![通过经典万年老洞拿下Shell]( "手拿把掐 | 通过经典万年老洞拿下Shell,爽飞")
当你遇到与本文相似的情况时,请务必记住:PUT上传创建、MOVE重命名时,同样的文件名只能使用一次,发包一次后需要更改文件名,否则可能会返回200、401导致失败,切记,文件名不可重复。
原文始发于微信公众号(犀利猪安全):手拿把掐 | 通过经典万年老洞拿下Shell,爽飞
评论