记一次内网渗透

1. 目标 aspx  iis6.0

2. 端口只有80

3. 漏洞:iis put 

   使用options提交数据 返回put  copy  可以判断有iis put问题 但是否存在漏洞 不能确定,因为这里涉及到几个问题 

1. WebDAV开启 iis没有开启写入权限(不能上传任何文件)

2. WebDAV开启 iis开启写入权限 目录没有写入权限(换目录写文件)

3. WebDAV开启 有写入权限 目录不允许执行脚本文件(这样只能上传txt 不能执行asp脚本文件)

 要确保iis put能成功 需要满足的条件是:

1. WebDAV开启

2. iis开启写权限

3. iis开启脚本执行权限

4. 目录开启写权限

  一：恰好 这几个条件我都满足了  直接利用iis 6.0的解析漏洞 上传a.asp;.txt,拿到了webshell,(桂林老兵iis写权限利用的工具我测试有问题 不能成功 具体原因不明 没去追究 我用的是自己写的put的脚本来上传的文件)。tips:在阿里云主机 有安骑士 会杀webshell 需要绕过。

  二:拿到了webshell，翻看数据库链接文件,在内网使用oracle数据库,systeminfo查看补丁信息,没有有打ms15051的补丁,执行exp,利用exp来读取hash(由于先前打包的时候造成iis卡死 服务器卡死 内存清空 抓不到明文 只能抓hash),2003的hash是lmhash抓到hash丢到老外的网站秒破,之后开启s5反弹代理,把mstsc代理进内网,连接本机3389。

  三：其实在第二步不用那么麻烦，直接使用s5开个代理进去内网,连接数据库就行了，提权只是为了获取rdp的账户跟密码来进入控制台，进行内网渗透。 个人习惯问题,提权不提权都无所谓。