前言背景

端午短暂休息三天,复工之后朋友又丢给我一个​Webshell​​,在打台球途中了解了一下这个奇怪的​shell​​,说是无法执行命令,经过测试发现只能执行​dir​命令,确实奇怪,草草打了几局台球就回去拿起电脑开日


第一天(步入正题)

菜刀上面写着当前用户为​SYSTEM​​,但是执行任何命令都没有回显,要不是这个​shell​​可以上传下载浏览文件,我都怀疑这个​shell​是假的了

记一次绕过安全狗与360艰难提权_权限提升

难道是​disable_function​禁用了高危函数吗?

查看​phpinfo​​发现​disable_function​也没禁用呀

记一次绕过安全狗与360艰难提权_红蓝对抗_02记一次绕过安全狗与360艰难提权_红蓝对抗_03

至于这种没有任何回显的​shell​​,一时间有点不知所措,那么就先翻一下文件吧(这是在没有思路情况下的一种思路)
顺便也可以了解目标机器的环境,是否存在杀软,是否宝塔面板搭建的等等......每一个环境都有每一种思路

记一次绕过安全狗与360艰难提权_权限提升_04记一次绕过安全狗与360艰难提权_绕过杀软_05

翻到了​root​用户的数据库连接密码,使用蚁剑连接数据库查看一下

记一次绕过安全狗与360艰难提权_权限提升_06记一次绕过安全狗与360艰难提权_红蓝对抗_07

好家伙,还有很多的旁站,先不管了,尝试一下​UDF​​提权
尽管​​webshell​​已经是​system​​权限了,但是为了能够执行命令,还是​UDF​​提权一下,顺便复习一下
这里​​UDF​​提权过程就省略了,因为​UDF​​提权失败了,首先是无法自动导出​DLL​​到​lib/plugins​目录,手动导出被杀。

失败的原因是因为服务器上存在安全狗和​360​,提权的过程总有一些奇奇怪怪的失败原因,可能就是它两在作祟吧

记一次绕过安全狗与360艰难提权_红蓝对抗_08记一次绕过安全狗与360艰难提权_红蓝对抗_09

最终数据库提权失败,只能另寻出路了,想办法尝试绕过安全狗和​360​​执行命令,而且这个​360​​+安全狗很强啊,任何命令都没有给执行,以前也遇到过存在​360​​的机器,至少可以执行部分命令,于是开始初步怀疑这个​shell​​是不是被拦截了,但是没有被杀
然后换一个大马上去试试。

记一次绕过安全狗与360艰难提权_权限提升_10记一次绕过安全狗与360艰难提权_绕过杀软_11

结果也是只能执行​dir​​命令,后来才知道,这就是朋友嘴里说的能够执行​dir​命令

记一次绕过安全狗与360艰难提权_红蓝对抗_12记一次绕过安全狗与360艰难提权_红蓝对抗_13

其他执行命令也是没有任何回显,正在我挨个尝试哪些命令没有被拦截时,突然网站开始转圈圈了,服务器宕机了。被迫休息了,难受的是到目前为止对这个站还是一点思路都没有。

躺在床上思索,把他上线到​cs​​,是不是就能够有更大的一个操作空间呢,于是打算等他恢复了就第一时间上线​cs


第二天(深入拿下)

一早就打开电脑,看一看网站有没有恢复,(温馨提示:日站不能急,以前有一个站挂了之后没人管到目前为止都没恢复)还好,这个网站恢复的很快,连上我们啥也不能干的​Webshell​​,把免杀的​cs​​加载器上传上去。
这里免杀加载器的思路就是首先将​​Shellcode​​进行加密混淆,放置远程服务器上并开启​http​​服务,然后再使用加载器去远程加载我们的​Shellcode

记一次绕过安全狗与360艰难提权_绕过杀软_14记一次绕过安全狗与360艰难提权_红蓝对抗_15

由于这个加载器中并没有恶意的​Shellcode​,所以自然也不会报毒(这里只做一个思路讲解,不公开加载器)

记一次绕过安全狗与360艰难提权_红蓝对抗_16记一次绕过安全狗与360艰难提权_红蓝对抗_17

但是这个​Shell​好像是任何命令都无法执行,我们使用大马试试

记一次绕过安全狗与360艰难提权_权限提升_18记一次绕过安全狗与360艰难提权_红蓝对抗_19

大马也无法执行exe,但是我总觉得还没完,去搜素一下​php​大马绕过360

功夫不负有心人,在不知道阅读了多少篇文章之后,找到了一个思路,​bat​里面执行命令:

1.bat里面写 start 1.exe

使用​Webshell​​去执行​1.bat​​批处理文件,然后批处理文件里面是执行​1.exe​文件,先写一个简单的批处理脚本试一下

记一次绕过安全狗与360艰难提权_绕过杀软_20记一次绕过安全狗与360艰难提权_红蓝对抗_21

成功的执行了批处理文件,那么我们再把批处理文件的内容修改一下,修改成我们想执行的命令

记一次绕过安全狗与360艰难提权_绕过杀软_22记一次绕过安全狗与360艰难提权_权限提升_23

结果发现没有上线,下面虽然有了回显,但是因为是乱码,也不知道回显的是什么,问了很多人,都说是被杀了,但是我不信啊,明明是拳打安全狗脚踢​360​的产物,却被人说是被杀了,于是乎再上一个大马,在大马中执行

记一次绕过安全狗与360艰难提权_绕过杀软_24记一次绕过安全狗与360艰难提权_权限提升_25

这次看到了回显,回显的内容是我的批处理文件内容,但是也没有上线,难道是写的批处理文件有问题吗?

本地执行一下,秒上线,并且没有被杀软拦截

记一次绕过安全狗与360艰难提权_红蓝对抗_26记一次绕过安全狗与360艰难提权_绕过杀软_27

那就说明,还是被不可抗拒因素拦截了执行命令。

一时之间不知道应该如何操作了,在大马里面乱点,想寻找新的思路

记一次绕过安全狗与360艰难提权_红蓝对抗_28记一次绕过安全狗与360艰难提权_红蓝对抗_29

然后看到了这个反弹提权,一直都没用过这个功能,但是想着有两个杀软在,应该也没那么容易弹出来吧

记一次绕过安全狗与360艰难提权_红蓝对抗_30记一次绕过安全狗与360艰难提权_绕过杀软_31

然后居然弹出来了,执行命令还是没有回显,但是这个​shell​​可以执行我们的批处理文件,就这样,把他上线到了​cs​​上面,果然是个​system​​权限,也不需要绕​360​提权了

记一次绕过安全狗与360艰难提权_权限提升_32记一次绕过安全狗与360艰难提权_红蓝对抗_33

搞事情来了,​cs​​的​shell​​都无法执行命令,这​360​​杀疯了.....导致环境变量错乱,在调用的时候输入完整路径来调用,不过我们可以见招拆招,直接使用绝对路径去运行​whoami.exe​​不通过​cmd​来执行

记一次绕过安全狗与360艰难提权_权限提升_34记一次绕过安全狗与360艰难提权_权限提升_35

记一次绕过安全狗与360艰难提权_权限提升_36记一次绕过安全狗与360艰难提权_绕过杀软_37

OK,现在就可以正常执行命令了。

记一次绕过安全狗与360艰难提权_权限提升_38记一次绕过安全狗与360艰难提权_权限提升_39

但是我们的目的是上​RDP​​,抓一下​hash

但是​Administrator​​的用户是强口令,并没有解出​NTLM​值

Guest​​来宾账户是弱口令,解密出来,但是​Guest​​并没有开启,我们还需要吧​Guest​开启并添加至管理组

记一次绕过安全狗与360艰难提权_权限提升_40记一次绕过安全狗与360艰难提权_红蓝对抗_41

记一次绕过安全狗与360艰难提权_权限提升_42记一次绕过安全狗与360艰难提权_红蓝对抗_43

但是​360​​拦住了,不让执行​net user​​,那我们通过​argue​​参数污染绕过​AV

记一次绕过安全狗与360艰难提权_红蓝对抗_44记一次绕过安全狗与360艰难提权_权限提升_45

使用​argue​​进行参数污染​net1​​然后在进行查看
成功污染之后我们就可以执行​​net1​,并且不会被拦截了

记一次绕过安全狗与360艰难提权_红蓝对抗_46记一次绕过安全狗与360艰难提权_红蓝对抗_47

那么​Guest​​用户就被添加至管理组,然后我们查看​RDP​对应端口

记一次绕过安全狗与360艰难提权_权限提升_48记一次绕过安全狗与360艰难提权_红蓝对抗_49

然后直接连接3389即可

记一次绕过安全狗与360艰难提权_权限提升_50

那么整个的绕过安全狗和​360​​就到此结束了,其实​Administrator​​用户也是可以上的,但是由于是​Aliyun​云服务器,动静会比较大,就到此为止了,主要还是学习提权中的思路。