0x00前言

今天正无聊呢,看到大白哥发起了挑战
46922-ilz587s351.png

okey,直接来拿捏。
36153-22bzqvord1l.png

0x01正文

打开靶场一看是ASPCMS2.7.3好久没见这古老系统了
33405-k5utgt4u1rn.png

99052-pakcx3409je.png

原先打算先来发注入漏洞,但是发现此处似乎已经修复了(经过一番尝试,发现跟网络上文章中说的过滤不太一样
02724-ooix84ipxh.png

接着看下一处,这里直接去后台试试弱口令。
http://8.152.4.233:8083/admin_aspcms/login.asp
admin/admin123
成功进入后台
65797-bys61b516lb.png

然后就准备尝试以前的备份拿SHELL或者编辑模板那边的xxx.asp;html等若干拿shell方法。不过经过测试,这些地方在此靶场拿shell都存在一定问题,可能是被拦截了或者已经修复了。
那么没问题,回归平凡操作
尝试上传马
54497-25y48mi7l22.png

成功传shell(不是吧,这么轻松
56934-pi46gmv1ne.png

20860-buy7kk5kar.png

为了不引起杀软的响应,这里先看下都有什么杀软
15956-zsrqngwaz2.png

发现此机器存在360安全卫士和阿里云盾
40856-r4snj2ncnw.png

然后利用wh""o^a^m^i查看目前网站权限
87181-ggmbccxd1tw.png

ok,目前是个IIS低权限。接着就需要去切换aspx脚本进行下一步操作(因为aspx的权限比asp高,可以利用.NET框架的特性
58032-qamfb1uqxa.png

至于为什么要切换到哥斯拉呢,因为可以利用哥斯拉的shellcodeloader插件去注入shellcode到rundll32.exe。这样马上线的时候,进程链比较干净,执行敏感操作的时候不会被360查杀。
直接上线
05741-mwi08husz2l.png

上线后为了防止掉线注入到其他程序上
70060-01p43l1h12qx.png

接着用systeminfo查看系统信息,发现是win2012
53490-i7ktbsos6w.png

接着可以用补丁去辅助提权
03541-n37c0lzxtqp.png

这里我知道是win2012完直接用badpotato进行提权
98713-nr5krh4g68.png

okay,成功GET到system权限。
由于不能直接监听上线。这里传上我自写的bypass360马(稳定1个多月了
46519-7o0hla1cb8.png

65476-rtt1h54o4b.png

成功
49647-yfaj6qsng6s.png

最后在

C:\Users\Administrator\Documents

处获得flag
24148-0rhq2dpwh6t.png

35964-9vq4d0a7v8i.png

0x02结尾

小小360轻松拿下~~~
85903-mua1wdqf8fj.png

发表评论