脚本语言:仅支持PHP
目标:Windows Server 2012 R2
杀毒软件:HipsTray.exe ---> 火绒
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
开局一张图,内容全靠编。
获得WebShell直接whoami,
看见system权限心中一喜,二话不说直接操作:
net user test123 Aa123456 /add
返回了一片空白,问题不大,继续:
net localgroup administrators test123 /add
因为凭我练习渗透时长两年半的经验,有时候无回显也有可能是已经添加成功了,验证是否添加成功执行一下net user就知道了。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
net user一样是无回显的,net1 user也不行;但尝试了一些诸如systeminfo、netstat -an的基本命令都是正常的,可能是大马有问题,换了几个大马后一样是相同的情况,使用蚁剑的话是直接报错了,无法连接。反正我个人是不喜欢用蚁剑。
接下来我就用以前自己的思路去操作:首先上传一个普通的一句话木马,准备好网页版PHP一句话木马客户端,这里的话我是上传了一个带一句话木马的大马,因为普通的一句话木马无法上传,其他情况的话直接上传一句话木马会比较方便。
为什么会有这种思路?这不是十年前的思路吗?
是十年前的思路,不过以前有过类似的经验,就是执行不了命令的或者说命令无回显的情况下,用这个玩意能正常执行,至于是什么原因我也不清楚。
同样是执行了一些基本命令,
唯独net user是无回显的,
挑战失败,有请下一位追梦人。
这时候考虑到是被火绒拦截了,各位同志不要紧张,具体问题我们具体分析,不一定安装了杀毒软件的电脑就是安全的,也不一定安装了火绒就开启防护的。
然后我想到不一定要添加管理员,用mimikatz读一下管理员密码试试,因为远程桌面是能够正常连接的,不过上传的时候直接被拦截了……
那就很明确了,火绒才是罪魁祸首。
突然想起前几天某公众号分享的绕某360和某绒添加管理员的工具,幸好当时有把项目地址保存在备忘录里,吓得我赶紧拿出来试试。
项目地址:
https://github.com/RuanLang0777/CreateUser
使用方法也很简单,把exe文件上传到网站目录,
执行命令:UserAdd.exe -u test –p test123
也不用添加到管理员组了。
补充:多年的经验告诉我,有时候大马和蚁剑都无法正常执行命令或者各种报错,但偏偏菜刀是正常的,但是现在用菜刀的估计已经少之又少了。
执行net user添加管理员被拦截:
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
上传mimikatz被拦截:
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道。通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
在获取网络信息的时候发现还有其他C段的服务器,目前我们拿下的服务器是170,意味着还有其他四台服务器,分别是171、172、173、174。为了验证猜想,分别在浏览器直接访问了C段IP,访问均正常,说明是存在的。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
而为了浅尝辄止一下,我选择退出火绒,然后上传mimikatz并获取管理员密码,因为其他服务器的密码可能都是统一的,但是失败了,其他类似于修改注册表而比较复杂的方法就不尝试了。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
然后想到试试IPC$,直接用了当前用户的权限去连接,应该是连接成功了,但是尝试列出目标服务器的c盘、d盘都是拒绝访问,共享资源也是空的,为了验证是否连接成功,我有两个思路浮现脑海:
1.尝试连接一台不存在的C段服务器。
2.尝试用错误的用户名或密码去连接其中一台C段服务器。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
结果证明是可以连接成功的,但是没什么用。
那我只好上神器无脑梭了。
![记录一次现学现卖的提权]( "记录一次现学现卖的提权")
其实这个情况下,提权是比较简单的,只不过我都用了一些老套的思路去操作罢了。好的思路就是直接CS和Powershell、MSF的getsystem、VBS、Bat,还有就是net无法执行的时候可以上传一个net.exe,但是后面这几个思路,火绒也会拦截。
你还想让我总结什么?其他师傅的话都是直接一键提权了,怎么可能还会像我这个小傻瓜一样具体问题具体分析几个小时。
原文始发于微信公众号(苏雅图的雨):记录一次现学现卖的提权
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1693857.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论