记录一次现学现卖的提权

微信公众号文章同步于微信公众号：苏雅图的雨

 
脚本语言： 仅支持PHP
目标： Windows Server 2012 R2
杀毒软件： HipsTray.exe ---> 火绒
 






开局一张图，内容全靠编。获得WebShell直接whoami，
看见system权限心中一喜， 二话不说直接操作： net user test123 Aa123456 /add
 返回了一片空白，问题不大，继续：net localgroup administrators test123 /add
因为凭我练习渗透时长两年半的经验，有时候无回显也有可能是已经添加成功了，
验证是否添加成功执行一下net user就知道了。



 



net user一样是无回显的，net1 user也不行； 但尝试了一些诸如systeminfo、netstat -an的基本命令都是正常的，可能是大马有问题，换了几个大马后一样是相同的情况，使用蚁剑的话是直接报错了，无法连接。 反正我个人是不喜欢用蚁剑。
接下来我就用以前自己的思路去操作： 首先上传一个普通的一句话木马，准备好网页版PHP一句话木马客户端，这里的话我是上传了一个带一句话木马的大马，因为普通的一句话木马无法上传，其他情况的话直接上传一句话木马会比较方便。


 


为什么会有这种思路？ 这不是十年前的思路吗？
是十年前的思路，不过以前有过类似的经验，就是执行不了命令的或者说命令无回显的情况下，
用这个玩意能正常执行，至于是什么原因我也不清楚。
 
同样是执行了一些基本命令，唯独net user是无回显的，
挑战失败，有请下一位追梦人。
这时候考虑到是被火绒拦截了，各位同志不要紧张，具体问题我们具体分析，
不一定安装了杀毒软件的电脑就是安全的，也不一定安装了火绒就开启防护的。
然后我想到不一定要添加管理员，用mimikatz读一下管理员密码试试，
因为远程桌面是能够正常连接的，不过上传的时候直接被拦截了……
那就很明确了，火绒才是罪魁祸首。
 
现学现卖 突然想起前几天某公众号分享的绕某360和某绒添加管理员的工具，
幸好当时有把项目地址保存在备忘录里，吓得我赶紧拿出来试试。
 
项目地址：https://github.com/RuanLang0777/CreateUser
 
使用方法也很简单，把exe文件上传到网站目录，
执行命令： UserAdd.exe -u test –p test123 也不用添加到管理员组了。
 


 


补充： 多年的经验告诉我，有时候大马和蚁剑都无法正常执行命令或者各种报错，但偏偏菜刀是正常的，但是现在用菜刀的估计已经少之又少了。


 


查找进程对应的端口，找到远程端口进行远程连接。


上线后第一时间就是打开安全日志。
执行net user添加管理员被拦截：


 
上传mimikatz被拦截：


 
 
IPC$ IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道。 通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。
 


在获取网络信息的时候发现还有其他C段的服务器，目前我们拿下的服务器是170，意味着还有其他四台服务器，分别是171、172、173、174。 为了验证猜想，分别在浏览器直接访问了C段IP，访问均正常，说明是存在的。


而为了浅尝辄止一下，我选择退出火绒，然后上传mimikatz并获取管理员密码，因为其他服务器的密码可能都是统一的，但是失败了，密码都是空值，其他类似于修改注册表而比较复杂的方法就不尝试了。


然后想到试试IPC$，直接用了当前用户的权限去连接，应该是连接成功了，但是尝试列出目标服务器的c盘、d盘都是拒绝访问，共享资源也是空的，为了验证是否连接成功，我有两个思路浮现脑海：
 
1.尝试连接一台不存在的C段服务器。
2.尝试用错误的用户名或密码去连接其中一台C段服务器。


结果证明是可以连接成功的，但是没什么用。
那我只好上神器无脑梭了。


其实这个情况下，提权是比较简单的，只不过我都用了一些老套的思路去操作罢了。好的思路就是直接CS和Powershell、MSF的getsystem、VBS、Bat，还有就是net无法执行的时候可以上传一个net.exe，但是后面这几个思路，火绒也会拦截。总结 你还想让我总结什么？ 其他师傅的话都是直接一键提权了，怎么可能还会像我这个小傻瓜一样具体问题具体分析几个小时。  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！