红队评估 | 给学校一点小小的学生震撼

admin 2023年3月14日00:15:55评论43 views字数 1806阅读6分1秒阅读模式

0x01 前言

这几天一直在想学校对公网开放的设备只有一个官网,那么内网里的设备是否又是少的可怜呢?于是怀着好奇的心,我打算开始对学校动刀!不过这里有很多没进行截图,至于什么原因我在文章后面也会说明。

0x02 前戏

通过vps开一个服务,使用平时我们上课的机器进行访问,并且下载我们的beacon.exe

红队评估 | 给学校一点小小的学生震撼

既然是上课的电脑,那么我们直接物理提权了😂 可惜不是System

红队评估 | 给学校一点小小的学生震撼

下面的System权限是后来获取的,既然我们拿到一台机子首先肯定得进行低权限的权限维持。这里我们使用Startup目录进行权限维持。这是最常用也是最简单的权限维持,无论你是什么权限都可以使用这种方法,将木马放在该目录下的程序或快捷方式下,它会在用户登录时自动运行。

对当前用户有效:
C:UsersUsernameAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
对所有用户有效:
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

简单的进行权限维持以后,我们进行简单的信息收集

ipconfig /all
systeminfo
net config workstation
net view /domain
arp -a
net time /doamin
... ...等等

这里并没有截图,因为后面把Beacon误删了

那么,经过简单信息收集之后发现学校的机子并没有域,而是简单的工作组。我这里就在想进行权限提升。

首先,肯定是想通过内核漏洞进行提权。这里使用wesng来获取Beacon可能存在的内核漏洞。

systeminfo > systeminfo.txt


主机名:           zhl305
OS 名称:          Microsoft Windows 10 专业版
OS 版本:          10.0.19043 暂缺 Build 19043
注册的所有人:     zhl305
域:               WORKGROUP
登录服务器:       \zhl305
修补程序:         安装了 5 个修补程序。
                  [01]: KB4601554
                  [02]: KB5000736
                  [03]: KB5020683
                  [04]: KB5001330
                  [05]: KB5001405
... ...

这个systeminfo.txt会保存在beacon.exe的相同目录下。将这个txt文本从C2下载下来,使用工具来识别可能存在的内核漏洞。

python3 wes.py systeminfo.txt
红队评估 | 给学校一点小小的学生震撼

针对Impact: Elevation of Privilege查找可以提权的内核漏洞,无果。

这时我想到了土豆家族,是否能成功的进行提权呢?这里我们使用三代土豆:PrintSpoofer也叫BadPotato,使用命名管道模拟用户。

管道可以有两种类型:

  • 匿名管道 —— 匿名管道通常在父进程和子进程之间传输数据。它们通常用于在子进程与其父进程之间重定向标准输入和输出。
  • 命名管道 —— 另一方面,命名管道可以在不相关的进程之间传输数据,前提是管道的权限授予对客户端进程的适当访问权限。

这里有个有趣的APIImpersonateNamedPipeClient()具有命名管道提供与函数相同的功能。

命名管道服务器可以打开具有某个预定义名称的命名管道,然后命名管道客户端可以通过已知名称连接到该管道。一旦建立连接,就可以开始数据交换。

红队评估 | 给学校一点小小的学生震撼

即Print Spooler服务的RPC接口其实是暴露在命名管道:\.pipespoolss

有了这些基础,那么我们就可以使用BadPotato进行提权。

https://github.com/BeichenDream/BadPotato
红队评估 | 给学校一点小小的学生震撼

提权成功之后,当我准备进行横向时电脑重启了,目标Beacon重启后,全部掉了。因为学校的机子全部都是沙盒模式,这台机器重启后就跟原先一样。

0x03 后话

我打算找个机会,尝试将教学楼的教师机器控制下来,然后横向学校其他的在线机器。等我的好消息,如果我成功了的话。

原文始发于微信公众号(不懂安全的校长):红队评估 | 给学校一点小小的学生震撼

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月14日00:15:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队评估 | 给学校一点小小的学生震撼https://cn-sec.com/archives/1602812.html

发表评论

匿名网友 填写信息