演示環境:windows-2003前提:提權的前提條件是拿到服務器的webshell演示以iis的中間件解析漏洞為例(test.asp;.jpg)
Windows提權
拿到webshell之后,使用菜刀,蟻劍,冰蝎或者哥斯拉連接上服務器(以菜刀演示為例)
這里的話我們上傳一個test.asp;.jpg
右鍵打開虛擬終端,我們試著輸入命令,但是他卻顯示沒有權限,拒絕訪問
原因:菜刀調用的是目標服務器系統的cmd.exe,此cmd.exe程序沒有iuser權限(從網站進去服務器時,當前身份是來賓用戶并沒有權限去調用系統的CMD.exe)
目前我們是有拿到webshell的,那么說明該站點根目錄是具有可讀寫的權限,此時我們可以通過
菜刀上傳一個腳本去檢測網站目錄的權限(使用腳本666.asp檢測目錄權限)
這里的話我們直接開始檢測目標服務器的根目錄
比如我們這里直接檢測c盤
檢測出來的結果是可以讀寫的目錄,我們在這里邊隨便選一個
然后在菜刀找到我們選擇的目錄
我們這是使用windows 2003的系統,所以我們需要找到一個對應操作系統的cmd.exe
我們需要使用setp命令以絕對路徑的方式去調用我們上傳的cmd.exe
這個時候我們在調用命令時就會成功
但是現在的權限只是可以執行基礎命令,如果我們使用net user www 123 /add添加用戶的話會顯示拒絕訪問,也就是我們現在的權限不夠,需要繼續提升權限
我么可以使用systeminfo顯示系統信息,我們可以查看對方操作系統的詳細信息
我們可以使用systeminfo執行檢測未打補丁的命令來進行補丁檢測
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
我們可以根據這些檢測出來的補丁編號,去公開網站搜索EXP
https://blog.csdn.net/weixin_39580041/article/details/117720324
https://github.com/SecWiki/windows-kernel-exploits
目標操作系統是2003 server所以我們選擇最經典的MS09-012(巴西烤肉)來進行提權
巴西烤肉漏洞利用
巴西烤肉漏洞:Microsoft Windows RPCSS服務隔離本地權限提升漏洞原理: RPCSS服務沒有正確地隔離NetworkService或LocalService帳號下運行的進程,本地攻擊者可以利用令牌劫持的方式獲得權限提升。成功利用此漏洞的攻擊者可以完全控制受影響的系統,攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶
首先在菜刀上傳我們的exp
在命令行切到我們上傳的目錄,并執行命令pr.exe "whoami"
這里的話我們看到現在的身份是system,已經完成提權了
我們現在就可以使用添加用戶來驗證是否為管理員權限
然后我們可以把這個用戶添加到管理員用戶組
和分布式集合(IgniteSet)的介紹)
)
