前言
Web服務器(以IIS爲例)在沒有任何設置是,使用OPTIONS命令,可以返回所有能夠響應的HTTP方法,如OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK。
實驗要求
任務:獲取目標機上的兩個文件(key1.txt和key2.txt),在C盤的根目錄下存儲有兩個敏感文件(key1.txt,key2.txt)
提示:
1、信息收集,對目標機器進行信息收集,這裏主要是端口,及服務。
2、漏洞發現,針對服務(如web服務裏面就有apache2,iis..),可以去看看其使用的軟件版本是否存在漏洞
3、利用漏洞,拿到shell,這個時候你應該可以拿到key1.txt了。
4、權限提升,這個時候你就可以拿到key2.txt了。
提示:
1、信息收集,對目標機器進行信息收集,這裏主要是端口,及服務。
2、漏洞發現,針對服務(如web服務裏面就有apache2,iis..),可以去看看其使用的軟件版本是否存在漏洞
3、利用漏洞,拿到shell,這個時候你應該可以拿到key1.txt了。
4、權限提升,這個時候你就可以拿到key2.txt了。
0x00 端口掃描
使用metasploit console,執行命令nmap -p 1-65535 10.1.1.191
我們發現80和8889部署了兩個應用,分別是dedecms和ewebeditor。
dedecms:只有一個首頁,其餘功能都剔除;通過/data/admin/ver.txt發現版本是2014.08.15,網上也無相關的漏洞情況,棄之;
ewebeditor:admin:admin/amdin888默認賬戶登錄失敗,打開默認數據庫位置db/ewebeditor.mdb,也不存在,棄之;
0x 01 中間件服務
如果是中間件的漏洞的話,一般有解析漏洞(藉助上傳)、讀寫漏洞(HTTP方法)等
直接使用工具IIS put scaner測試,發現8889應用存在漏洞
上傳菜刀腳本1.txt(無法直接上傳asp文件)
通過瀏覽器的我們也能訪問到1.txt,下一步將1.txt轉換爲腳本,我們通過http的move方法
0x 02 獲取key1
通過菜刀連接,我們發現了c盤下的key文件
其中key1是可以直接訪問的,key2提示權限問題,那麼下一步就是提權的問題
0x 03 提權
使用菜刀虛擬終端,所用命令都拒絕訪問,遂上傳一個cmd命令至www(該目錄可讀寫)目錄下
執行setp c:\www\cmd.exe
之後輸入一些whoami等命令,執行正常,但是當輸入net user時提示“系統找不到指定文件”,可能是禁用或者是刪除了,於是自己上傳了一個net.exe上去,依然報錯,大概是禁用了,此路不通,於是使用aio工具進行帳號的克隆,上傳aio.exe,執行克隆命令
這裏還是報錯了,料想可能是權限的問題,遂祭上各種提權工具,我們先看一下系統補丁情況:
KB952004、KB956572、KB970483這三個補丁都沒打,也就是說pr.exe,Churrasco,iis提權都可以,這裏我們使用Churrasco,再次執行克隆
由於系統未開放3389,我們自己上傳一個bat文件開一下端口,執行該bat文件也許system權限
我們在本機telnet看一下,可以發現3389端口已經開放,使用帳號guest/p@ssw0rd登錄,找到key2.txt,修改以下文件權限,就可以看到內容
至此,實驗已經完成,本次實驗主要考察兩個知識量:HTTP方法及提權,提權的更多內容可參考我轉載的一篇web提權的文章。