信息收集
一、基础信息
目标系统是windows,
服务层有IIs6.0,Apache-Web-Server,
支撑层有ASP.NET,ASP,jQuery,VisualSVN,PHP5.2.6
二、端口开放情况:
利用goby对ip进行扫描,使用nmap工具也同样能扫出所有开放的端口
三、资产探测:
结合goby和nmap扫描的端口情况,手工探测了下,发现总共有5个web应用,以及开放了MySQL、RDP服务。
端口 | 应用 | 运行环境 | 备注 |
---|---|---|---|
501 | WEB:xxxxxxx网络课程发布系统 | IIS6.0 | 登录口爆破 |
500 | WEB:默认iis服务 | IIS6.0 | 扫描下目录 |
60000 | WEB:VisualSVNServer | Apache | 登录口爆破 |
5555 | WEB:Index of / | Apache、IIS6.0 | 存在目录浏览漏洞 |
8031 | WEB:默认iis服务 | IIS6.0 | 扫描下目录 |
33060 | MySQL | 爆破下弱口令 | |
38938 | RDP, Remote Desktop Protocol | WindowsServer2003 | 爆破下弱口令 |
四、目录探测
利用7kbscan对几个WEB目标目录进行扫描
- 501端口http://:501/
- http://:501/fckeditor/editor/fckeditor.html
- 还扫出来很多fck的相关文件,由此可知网站是用的FCK编辑器
- http://:501/login.aspx
- 网站登录口,可以考虑爆破下
- http://:501/fckeditor/editor/fckeditor.html
- 5555端口http://:5555/
- http://:5555/app.php
- 爆出绝对路径 x:\xxx\xxx\xxx\htdocs\app.phpon line 8
- http://:5555/phpmyadmin/
- 看到目录以为是个phpmyadmin页面结果访问空白
- http://:5555/default.aspx/
- sql server程序路径x:\xxx\xxx\xxx\KC\ListApplys.aspx.cs:line 84
- sql server程序路径x:\xxx\xxx\xxx\KC\ListApplys.aspx.cs:line 84
- http://:5555/app.php
弱点分析
一、网站后台登陆地址存在弱口令漏洞
二、网站存在index of 页面,可以遍历某目录下的文件
漏洞利用
一、通过弱口令漏洞进入网站后台,发现文件上传点
二、通过Fck编辑器漏洞先上传后重命名的方式来getshell(存在waf,需要绕过)
我们这里选择上传的文件位置也是有原因的,因为要连接我们的马的话,我们需要知道他的详细的路径,这时候我们就想到了我们的5555端口的index of的文件目录,可以发现index of的目录是x:\xxx\xxx\www\htdocs
所以我们就选择这个目录作为我们的webshell上传的目录(这个文件目录是通过信息搜集得出的,具体看信息搜集部分)
补充:这里是如果用普通的一句话木马我们可能连接上一次以后就没法连接了,原因是目标存在杀软,我们要对我们的木马进行加密,这里我们选择了双base64加密,需要我们新建一个双base64加密的编码器,然后再进行连接(编码器和马都在下方提供)
双base64编码器:
/**
* php::base64编码器
* Create at: 2020/11/21 15:21:10
*/
'use strict';
/**
* @param {String} pwd 连接密码
* @param {Array} data 编码器处理前的 payload 数组
* @return {Array} data 编码器处理后的 payload 数组
*/
module.exports = (pwd, data, ext={
}) => {
// ########## 请在下方编写你自己的代码 ###################