文章目录
- 为什么需要提权
- Windows提权的常见方法
- Windows系统常见命令
- 内核溢出漏洞提权
- IIS权限
- 拿shell
- 提权过程
- 信息收集
- 提权
- apsx提权
为什么需要提权
读取/写入敏感文件
重新启动之后权限维持
插入永久后门
Windows提权的常见方法
1.内核漏洞
2.错误的服务权限配置
3.DLL注入
4.始终以高权限安装程序
5.凭证存储
Windows系统常见命令
内核溢出漏洞提权
在渗透测试过程中,经常遇到的windows服务器包括winserver2003、winserver2008、winserver2012
一般获取的是 iis_user 用户组权限
IIS权限
aspx > php => asp
apsx 默认可以执行终端命令,PHP 和 asp 在组件没有删除的情况下,可以上传 cmd 到可执行目录,执行命令
执行命令的组件:wscript.shell
拿shell
靶机是一个asp站点,存在文件上传
Bypass文件上传,上传asp一句话木马(和php一句话利用方式相同)
使用蚁剑直接连接就好了
可以登录但是发现执行命令提示拒绝访问
可能的两种情况:
- cmd权限不足,没有命令执行权限,需要自己上传一个cmd.exe,注意windows server不能使用win10的cmd,需要对应版本
- 可能启用了安全模式(但是这里没有提示,那就应该是第一种)
解决方法:
- 重新设置一下cmd路径:如setp:C:\inetpub\wwwroot\cmd.exe(可能不行)
- 上传一个大马(或者上线 cs)寻找可读写目录,重新上传一个cmd(版本需要匹配)
上线cs方法(目前暂时使用大马的方式比较简单)
第一个方法不行,使用第二个方法-小马拉大马,传一个大马上去(咳咳,不要以为是靶机就直接仍上去一个大马,权限有问题)
发现支持wscript.shell组件,传上去一个cmd.exe(注意版本),到recyrler目录(一般这个目录都是可读写的)
在IIS中默认上传大小是200k,大于会报错,但是实际情况中不需要担心这个问题(靶机中如果手动上传后无法使用,要添加web用户权限)
再次执行命令whoami发现执行成功
提权过程
- 确保webshell中可以执行终端命令并收集信息
- 上传溢出 exp
- 执行命令
信息收集
systeminfo命令收集信息
检查Windows提权辅助工具,wesng主要帮助检测Windows安全缺陷,是Windows Exploit Suggesters的升级版,通过读取加载systeminfo命令的结果来输出漏洞利用建议
或者这个网站也可:https://i.hacking8.com/tiquan/,将补丁号输入,查询可利用的 windows 提权
介绍一下wesng的用法
- 将wesng下载到本地主机上,先升级最新的漏洞数据库
- 将目标机器的systeminfo命令的结果输出并保存,使用wesng进行检查
- 使用漏洞库 https://www.exploit-db.com/ 找payload,上传至靶机中提取
提权
既然已经有poc了,提权就很easy了
上传iis6.0通用提权程序,拿到system权限
使用命令增加用户
命令作用是:创建密码为ocean的ocean用户,并添加到管理员用户组
使用账号密码登录RDP
apsx提权
以上是asp程序的iis提权,apsx程序会比asp的权限高,默认是可以执行cmd命令的,如果在asp不能执行命令时,而网站支持aspx,则可以上传apsx木马进行提权
提权思路是一样的,就是不需要上传cmd.exe了,可以直接上传iis6.0.exe进行提权