大致拓扑
第一台:
扫描了一下是有ms17-010的,但怼的时候没有成功。先用8075端口通达OA命令执行漏洞进去看看:
后来ms17-010能怼了,正式开启msf之路。
原计划在meterpreter里面建立路由,横向渗透。但是涉及到端口转发,msf隧道就会断掉。
不过没有关系,在靶机里面装一个msf就行了。
Win7用户远程桌面保存了一个机器,但msf没有办法直接抓到远程桌面登录的密码。
第三台:
先使用ms17-010拿192.168.184.253:
到这里以后是可以继续跨网段横向的。之前好像是有两个机器,10.0.10.110和10.0.10.111,111开放了redis且未授权访问,原计划redis上传一个webshell上去,后来机器没了。110机器还没看,也没了。
第四台:
存在永恒之蓝,但msf没有x86的payload。
web开放了80,81,82端口。(auxiliary/scanner/portscan/tcp)
尝试iis直接上传
可以上传文件,但不知是我操作有瑕疵还是msf有瑕疵,上传的内容不是我自定义的payload,上传了一个asp的脚本,但是这个脚本执行的时候500错误。可以试试aspx。
再后来写都写不上去了。
再后来msf都打不开了
扫描一下目录(msf默认没有web目录的字典,需要自定义字典,但扫描起来感觉很憨批):
ewebeditor的后台进不去,网站后台没有密码。
构造一个本地上传的html。没传上去,看源码是样式id号不对,更换了几个样式ID也不好使。
尝试注入拿密码进后台:
and exists (select * from msysobjects)>0 判断数据库是access(加个单引号也行)
找了一下msf没有access数据库的相关脚本。
手工注入进后台吧。
网上找一个手注的教程:https://blog.csdn.net/u014029795/article/details/91071005
发现教程里面的环境和靶机一样????
http://192.168.184.123:81/Production/PRODUCT\_DETAIL.asp?id=1513 Union select 1,2,admin,4,5,6,7,8,9,10,11,12,13,14,password,16,17,18,19,20,21,22 from admin
爆密码进后台
进后台发现编辑器是灰色的。
上传文件改包还得用burp(这里也不能确定上传是否可行)。
以前没有burp的时候,使用nc改包上传,但这里也没有nc。
常规的access备份数据库功能和后台上传设置功能都没有。
82端口:
这里过滤了参数,一般来说使用cookie注入就行,但msf没法注,手工又不会(辉师傅硬磕这里磕进去了,牛逼)。
其他的和81端口的类似。Msf针对这类web系统几乎没什么模块可以用,敏感目录与文件也扫不出来。没上传点,没后台就告辞了有上传点我也改不了包。
打到这里呢,msf就受不了了,直接投降~
