绕过360安全套装+云锁提权案例

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


这篇文章由星球嘉宾@Maytersec师傅投稿,应作者要求就不声明原创了。在此感谢师傅的投稿,也希望大家能够从中有所收获!




开局一个Webshell,先进行简单的信息搜集,查看当前权限,正常的iis权限

绕过360安全套装+云锁提权案例


查看版本

wmic OS get Caption,CSDVersion,OSArchitecture,Version
绕过360安全套装+云锁提权案例


查看软件

wmic product get name,version
绕过360安全套装+云锁提权案例


因为提前说了有360和云锁。

绕过360安全套装+云锁提权案例


360全套带云锁,net、net1、netstat不能执行。sql server数据库,但是因为站酷分离,而且cmd被删除,不能执行命令,懒得去突破了。


而且云锁有个最大的特点就是上传的exe不能执行,加上360全套。传上去的基本不行,传微软自带的net也没用,直接秒没。  


因为不能穿exe来提权,所以只能先扫下本地有什么端口。webshell+nmap全端口。

绕过360安全套装+云锁提权案例


开了3389和1433还有3306,但是1433死活找不到密码,碰撞了几个也不行。

绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例


发现有好几个tomcat端口,我们很多人应该知道tomcat继承的是system权限或者administrator权限。既然不能用exe提权,我们来用自带的tomcat。  


nmap已经扫描出来端口,我们只要找到conf/server.xml文件对应下端口就可以了。 

绕过360安全套装+云锁提权案例


直接去上传个jsp马就行了。

绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例


就算是系统权限也是不能执行net net1等等,exe也一样。


所以试了bat导出注册表sam失败了。hta不能执行,powershell失败。所以用了冰蝎自带的meterpreter.  

绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例


说下sql server自带的工具 SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。


SqlDumper.exe默认存放在C:⧵Program Files⧵Microsoft SQLServer⧵number⧵Shared,number代表SQL Server的版本,参考如下:

可能存在的位置:C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exeC:Program FilesMicrosoft Analysis ServicesAS OLEDB10SQLDumper.exeC:Program Files (x86)Microsoft SQL Server100SharedSqlDumper.exe


SqlDumper.exe利用方式

查看lsass.exe的pidtasklist /svc |findstr lsass.exe
584是lsass.exe的pid"C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exe" 584 0 0x01100
绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例


利用webshell把SQLDmpr0001.mdmp下载下来,然后使用mimikatz法国神器得到目标主机明文密码。

mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit">1.txt
绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例


可以使用query user命令看下管理员在不在, 我们直接登入进去。  

绕过360安全套装+云锁提权案例


结束。




关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考杂志电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包21919月1日前潇湘信安所有文章打包。

绕过360安全套装+云锁提权案例 还在等什么?赶紧点击下方名片关注学习吧!绕过360安全套装+云锁提权案例


推 荐 阅 读




绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例
绕过360安全套装+云锁提权案例

欢 迎 私 下 骚 扰



绕过360安全套装+云锁提权案例

原文始发于微信公众号(潇湘信安):绕过360安全套装+云锁提权案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: