|
|
|
联系客服020-83701501

Webshell下命令行跨站

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Webshell下敕令行跨站

今晚在搞个黑客站的时分拿下旁站权限,但不能夸到目标站的目次下,眼看目标就在目下却被最后一道关卡给卡死了。之前也有测验考试过pr提权,单asp一履行pr就卡死了。。
无奈之下找了群里龙儿心一起来研究,龙儿心教导不错,到shell上立马就搞定了目标站的途径,失去IIS网站路劲和其它基础底细动态也是利用一个VBS脚本搞定的,这个在我blog中有一个文章帖出来代码。这里我搪塞再帖下,并阐明用法!

Default
1234567891011 Set ObjService=GetObject("IIS://LocalHost/W3SVC") For Each obj3w In objservice If IsNumeric(obj3w.Name) Then sServerName=Obj3w.ServerComment Set 网站Site = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root") ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & 网站Site.Path & ")" & vbCrLf End If Next WScript.Echo ListAllWeb Set ObjService=Nothing WScript.Quit

 

将以上代码糊口生涯为1.vbs,履行”cscript C:recycler1.vbs“ 敕令,cscript C:recycler1.vbs是我传到办事器上的途径,履行腐朽后就会列出IIS的基础底细动态了。

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

如上图所示,列出来的动态中搜罗了网站id 透露表现称说 以及途径三个动态,这里我们要记下目标站的id为:360363061,途径为:D:wwwrootfucksbhack8wwwroot。

现在就失去了目标网站的基础底细动态了,可是这对我们拿下最终目标站的权限有啥用呢? 呵呵!不急,我们接上去就要想办法失去这个网站的iis用户名和明码,此后利用bs大牛写的网站shell来夸目次。

当 时和龙儿心搞定了目标站途径动态后为失去目标站的IIS账号明码还真费了良多工夫,当时照旧多亏了龙儿心给我看的一篇文章,承担看了事先才晓畅了怎么利用 Adsutil.vbs来失去IIS账号明码。起首搞个Adsutil.vbs文件来,文件形式太多,我就不贴出来了,本文中所用到的工具最后我会部分打 包。

搞到Adsutil.vbs文件后我们需要改变下形式,我起首搜索”If (Attribute = True) Then“,此后再上面几行中会看到下列形式:

Default
12345 If (Attribute = True) ThenIsSecureProperty = FalseElseIsSecureProperty = TrueEnd If

 

起首我们要失去目标网站IIS的账号,我们将第一个IsSecureProperty 的值修改为IsSecureProperty = False,此后糊口生涯,上传到办事器上。

在履行的时分我们需要用到之前利用的vbs脚本失去到目标网站的id值,这里是360363061,此后我们利用”cscript C:recyclerk.vbs enum w3svc/360363061/root“敕令来失去目标站的IIS账号动态。

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

如 上图所示,腐朽的失去到目标站IIS账号为sbhack8_网站,接上去我们便是失去明码了,同样的办法还需要将Adsutil.vbs文件中方才修改 的中央,将第二个IsSecureProperty 修改为IsSecureProperty = False,此后再把第一个IsSecureProperty 修改为IsSecureProperty = True,既两个的值彼此厘革一下,此后再履行同样的敕令”cscript C:recyclerk.vbs enum w3svc/360363061/root“来失去明码动态。

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

如许就搞到了目标站IIS用户的账号和明码了,先就要排bs大牛的shell上场了,在要利用BS大牛的shell之前我们还需要改变喜爱BS大牛的shell形式。

搜索bs大牛shell中形式”Const bOtherUser=False“,此后修改为”Const bOtherUser=True“,糊口生涯,上传到办事器方便网站目次下,虽然照旧要支持asp的了,此后会面,此后呈现下图所示形式。

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

这里间接点击OK,此后稍等下一下就会弹出上岸框了,下列图所示:

 

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

此后我们在这里输入方才失去的目标站的IIS账号和明码,此后上岸,腐朽了的话就会进入shell的登录框了。

 

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

 

这里如数网站shell的明码进入后间接拿目标站的途径跳转,此后就会创举目标站的目次和文件部分列出来了!不BT的话是有写入权限的!!轻易大家我把文章中提及的工具部分打包了!!

*最后赔偿下,我上去本地测试了下Adsutil.vbs的修改中央,我们间接将If (Attribute = True) Then上面的两个IsSecureProperty值都修改为True的时分就会同时列出账号和明码了,没需要失去了账号,此后再修改下去失去明码。

 

webshell下可以命令时跨站最好办法 - 大卷风 - 大卷风的博客

数安新闻+更多

证书相关+更多