绕过数字 + Defender 2016实战提权

admin 2024年9月28日10:25:08评论10 views字数 998阅读3分19秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前期测试

拿到webshell后收集到以下信息,但无法执行命令(被拦截),这里应该找可读可写上传cmd啥的可以突破,或者直接上免杀的马子、exp,前提做好免杀,cmd也是。
server 2016 x64iis权限默认的iis配置等信息
绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权

这里我们先试试用哥斯拉自带的土豆提权试试,可以看到虽然拿到了system token,但是在CreateProcessAsUser这里被拦截了,所以无法执行命令。

绕过数字 + Defender 2016实战提权

但支持aspx .net,因为目标支持.net,这里为了快速拿下,我直接.net加载shellcode上线CS,一把梭不浪费时间了,这里memorype也可以。

绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权

注:这里我还要说一个技巧,因为我们的注入进程文件是csc.exe,这里不要用默认的rundll32.exe,会被拦截,csc.exe这个文件是白名单,白名单进程拦截相对较少,如果使用rundll32.exe上线后面做啥都会拦截,因为这个rundll32.exe被杀软监控的很死,一般情况下连上线都不行。

绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权

0x02 绕过提权

上线CS以后使用execute-assembly命令内存加载不落地执行我们编译好的土豆,这里我使用efspotato,这里可以看到上线了一个system权限的会话。

注:此处的shellcode用默认的就行了,不要用stagerless的shellcode会卡死,前面上线可以用stagerless的shellcode,这里不要用会直接把cs卡死,因为太长了字符串。

绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权

但是只是线程是system的,这个时候也很好解决

绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权
绕过数字 + Defender 2016实战提权

使用steal_token解决这个问题,后面我们的操作就很容易了

绕过数字 + Defender 2016实战提权

我们也可以使用inject来迁移一个进程,进程迁移

绕过数字 + Defender 2016实战提权
这里差不多就完成了提权,后面操作就是提权以后的操作了。这里说下这种修改方法不只针对土豆系列的exp,所有的提权exp都适用。

更多更完整的Windows提权Exploit可在星球下载我们的CobaltStrike后渗透插件(PostExpKit)体验,如使用中有问题欢迎反馈交流。

绕过数字 + Defender 2016实战提权

原文始发于微信公众号(Khan安全攻防实验室):绕过数字 + Defender 2016实战提权

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日10:25:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   绕过数字 + Defender 2016实战提权http://cn-sec.com/archives/3107043.html

发表评论

匿名网友 填写信息