安全矩阵

 找回密码
 立即注册
搜索
查看: 794|回复: 0

Windows版宝塔bypass到RDP登录

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2023-6-9 19:14:32 | 显示全部楼层 |阅读模式
01 背景
在一次攻防演练中,利用漏洞获取到一个webshell,站点是php的,最后发现这个webshell的权限竟然是system,但是无法执行命令,最后发现是Windows版本的宝塔,结合网上各位师傅的文章,在这里记录下如何bypass到3389登录的。
02 getshell
直接上webshell,上了蚁剑、冰蝎、哥斯拉,发现没有waf拦截,上蚁剑,windows的机器,权限很高是system,执行命令,发现都是返回错误:

使用哥斯拉看下,可以看到就是宝塔:

同样在fofa上看到开放了888端口,其实就可以猜是宝塔了:

这是官网关于面板的介绍:

既然是Windows版本的bt的话,那这个webshell权限就是system是没有问题的,现在就是想办法拿bt面板或者bypass执行命令了。

03 宝塔bypass之路
在bypass宝塔之前,也看到过替换php.ini文件、mysql提权的,但经过测试都是失败的,因此在这里尝试直接拿下宝塔面板。

3.1 寻找宝塔后台通过参考师傅的文章,找到了宝塔的路径信息:

           

C:/BtSoft/panel/data/admin_path.pl


发现路径:/xxxxxx

一般来说,宝塔的面板默认端口就是8888,因此直接加上之后访问:无论是内网还是外网,发现依旧访问不到:

最后发现,自己找偏了,宝塔面板的端口信息是保存在宝塔的配置文件里面的,开发者修改了bt修改了默认的访问端口, 通过查阅资料,在这里发现了相关信息:https://newsn.net/say/bt-login-reset.html
宝塔的配置信息:
路径相关配置文件如下:面板域名,/www/server/panel/data/domain.conf面板端口,/www/server/panel/data/port.pl安全入口,/www/server/panel/data/admin_path.pl授权IP,/www/server/panel/data/limitip.conf
开始翻文件,最后找到了端口:xxx

找到之后,拼接访问,其实这个面板地址在内、外网均可访问:

3.2 登录面板后台现在路径和端口都找到了,开始找面板密码,面板的密码是保存在data目录下的default.db里面的,直接下载到本地,然后使用工具打开之后,开始修改:


宝塔的密码是加盐的,无法直接通过hash解密,所以在这里要替换或者是新增:
在这里要分为两种宝塔来操作了:
  • 如果是老版本宝塔的话,可以再添加一个用户来打开,在这里可能不太准确,我以前发过linux版本的宝塔是可以通过添加用户来新增登录的,但是后来新版宝塔就无法再使用新增用户的方法来操作了,必须替换才可以,但是Windows版的我就不太清楚了
  • 如果是新版本宝塔的话,只能够修改密码,登录成功之后,再修改回去,这个是linux版新版是这样的,但是Windows的我确实不太清楚

也可以前往github下载:

https://github.com/crow821/crowsec
将这个值以及盐的值,以及账号等新增到里面去试试看,在这里先尝试直接新增,如果真的不行,到时候再替换,因为替换太麻烦了:

修改之后,将文件替换下:

记得在替换之前,将原来的文件进行备份,防止出现意外,数据无法恢复。替换之后尝试登录:

在这里运气比较好,直接登录成功。
3.3 宝塔任务计划添加用户进了宝塔面板的后台,并且权限是system,在fofa上看到该服务器开启了3389远程桌面,所以在这里通过计划任务添加用户:


添加之后,会自动执行一次:

执行成功之后,记得及时删除这两个任务计划。
3.4 3389远程登录直接尝试3389:

04 总结

Windows版本的宝塔好像比linux版本的宝塔好绕过一点。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 16:02 , Processed in 0.019431 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表