实战 | 绕过360安全套装+云锁提权案例

  • A+
所属分类:安全文章
文章来源:潇湘信安   作者:Maytersec


开局一个Webshell,先进行简单的信息搜集,查看当前权限,正常的iis权限

实战 | 绕过360安全套装+云锁提权案例


查看版本

wmic OS get Caption,CSDVersion,OSArchitecture,Version
实战 | 绕过360安全套装+云锁提权案例


查看软件

wmic product get name,version
实战 | 绕过360安全套装+云锁提权案例


因为提前说了有360和云锁。

实战 | 绕过360安全套装+云锁提权案例


360全套带云锁,net、net1、netstat不能执行。sql server数据库,但是因为站酷分离,而且cmd被删除,不能执行命令,懒得去突破了。


而且云锁有个最大的特点就是上传的exe不能执行,加上360全套。传上去的基本不行,传微软自带的net也没用,直接秒没。  


因为不能穿exe来提权,所以只能先扫下本地有什么端口。webshell+nmap全端口。

实战 | 绕过360安全套装+云锁提权案例


开了3389和1433还有3306,但是1433死活找不到密码,碰撞了几个也不行。

实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例


发现有好几个tomcat端口,我们很多人应该知道tomcat继承的是system权限或者administrator权限。既然不能用exe提权,我们来用自带的tomcat。  


nmap已经扫描出来端口,我们只要找到conf/server.xml文件对应下端口就可以了。 

实战 | 绕过360安全套装+云锁提权案例


直接去上传个jsp马就行了。

实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例


就算是系统权限也是不能执行net net1等等,exe也一样。


所以试了bat导出注册表sam失败了。hta不能执行,powershell失败。所以用了冰蝎自带的meterpreter.  

实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例


说下sql server自带的工具 SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。


SqlDumper.exe默认存放在C:⧵Program Files⧵Microsoft SQLServer⧵number⧵Shared,number代表SQL Server的版本,参考如下:

可能存在的位置:C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exeC:Program FilesMicrosoft Analysis ServicesAS OLEDB10SQLDumper.exeC:Program Files (x86)Microsoft SQL Server100SharedSqlDumper.exe


SqlDumper.exe利用方式

查看lsass.exe的pidtasklist /svc |findstr lsass.exe
584是lsass.exe的pid"C:Program FilesMicrosoft SQL Server100SharedSqlDumper.exe" 584 0 0x01100
实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例


利用webshell把SQLDmpr0001.mdmp下载下来,然后使用mimikatz法国神器得到目标主机明文密码。

mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit">1.txt
实战 | 绕过360安全套装+云锁提权案例
实战 | 绕过360安全套装+云锁提权案例


可以使用query user命令看下管理员在不在, 我们直接登入进去。  

实战 | 绕过360安全套装+云锁提权案例


结束。


实战 | 绕过360安全套装+云锁提权案例

1. 干货|红蓝攻防、安全工具、教程等持续更新中

2. 10个Web日志安全性分析工具

3. 红蓝攻防演练资产收集小工具

4. 任意文件上传之绕过云waf+本地防火墙双重防护

5.一次XSS和CSRF的组合拳进攻 (CSRF+JSON)

6.红蓝对抗之溯源

推荐阅读

实战 | 绕过360安全套装+云锁提权案例

点个赞、在看、分享,求三连

原文始发于微信公众号(乌雲安全):实战 | 绕过360安全套装+云锁提权案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: