|
0x01 前期测试
cmd
啥的可以突破,或者直接上免杀的马子、exp,前提做好免杀,cmd也是。server 2016 x64
iis权限
默认的iis配置
等信息
这里我们先试试用哥斯拉自带的土豆提权试试,可以看到虽然拿到了system token,但是在CreateProcessAsUser
这里被拦截了,所以无法执行命令。
但支持aspx .net,因为目标支持.net,这里为了快速拿下,我直接.net加载shellcode上线CS,一把梭不浪费时间了,这里memorype也可以。
注:这里我还要说一个技巧,因为我们的注入进程文件是csc.exe
,这里不要用默认的rundll32.exe
,会被拦截,csc.exe
这个文件是白名单,白名单进程拦截相对较少,如果使用rundll32.exe
上线后面做啥都会拦截,因为这个rundll32.exe
被杀软监控的很死,一般情况下连上线都不行。
0x02 绕过提权
execute-assembly
命令内存加载不落地执行我们编译好的土豆,这里我使用efspotato
,这里可以看到上线了一个system权限的会话。注:此处的shellcode用默认的就行了,不要用stagerless
的shellcode会卡死,前面上线可以用stagerless的shellcode,这里不要用会直接把cs卡死,因为太长了字符串。
但是只是线程是system的,这个时候也很好解决
使用steal_token解决这个问题,后面我们的操作就很容易了
我们也可以使用inject来迁移一个进程,进程迁移
更多更完整的Windows提权Exploit可在星球下载我们的CobaltStrike后渗透插件(PostExpKit)体验,如使用中有问题欢迎反馈交流。
原文始发于微信公众号(Khan安全攻防实验室):绕过数字 + Defender 2016实战提权
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论