• 108.网络安全渗透测试—[权限提升篇6]—[Windows内核溢出提权]


    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!

    一、Windows IIS6.0溢出提权

    1、Windos提权简介:

            window 服务器常用的是win2003、win2008和win2012。在渗透测试中 ,我们获取的权限是iis_user用户组 ,要更高的权限就需要把当前的用户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中,扩大范围测试。

    2、程序权限的对比:

            在iis里面,权限依次的大小对比:aspx>php>=asp,aspx默认能执行终端命令、php和asp如果不能执行命令,在wscript.shell组件没有删除的情况下,可以上传cmd到可执行目录从而执行终端命令。

    3、 漏洞利用过程:

    (1)实验环境:

    1.靶机环境:
    (1)虚拟机Windows2003【upload.moonteam.com】【192.168.97.132】
    (2)脚本语言环境:php/asp/aspx语言环境均存在
    
    2.攻击机:
    (1)虚拟机Win7【192.168.97.130】
    (2)Firefox+Burpsuite+蚁剑+大马
    
    3.网络环境:
    (1)VMware搭建的NAT网络
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10

    (2)靶机链接:

    URL:http://upload.moonteam.com/upload_6.php

    (3)实验过程:

    第一步: 访问靶机链接,经过一系列的测试,发现这个是IIS6.0文件解析漏洞,因此可以通过漏洞特性上传大马。
    在这里插入图片描述
    第二步: 上传大马
    在这里插入图片描述
    在这里插入图片描述
    第三步: 访问大马http://upload.moonteam.com/upfile/heroes.asp;.jpg #大马密码为heroes
    在这里插入图片描述
    第四步: 点击[服务信息 组件支持]模块,查看命令执行组件wscript.shell组件是否删除
    在这里插入图片描述
    第五步: 点击[RECYCLER]模块,从而查看回收站目录。
    在这里插入图片描述
    第六步: 点击[上传文件模块],从而上传cmd.exe到回收站目录下。
    在这里插入图片描述
    在这里插入图片描述

    第七步: 点击[CMD执行]模块,然后填写SHELL路径以及要执行的命令,最后勾选WScriptShell组件和点击执行,从而测试cmd.exe的whoami命令。

    在这里插入图片描述
    第八步: 点击[CMD执行]模块,执行命令systeminfo,保存下来结果到本地的systeminfo.txt。
    在这里插入图片描述

    第九步: 利用脚本wes.py,执行python wes.py systeminfo.txt > res.csv命令,跑出漏洞,保存到res.csv
    在这里插入图片描述
    第十步: 分析res.csv,检索漏洞,发现CVE-2009-1535的IIS6.0提权漏洞
    在这里插入图片描述
    第十一步: 点击[上传文件模块],从而上传IIS6.0.exe到回收站目录下,但是发现上传失败,这里我们再去上传一个专门用来上传文件的大马,再去上传IIS6.0.exe
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
    第十二步: 访问大马,http://upload.moonteam.com/upfile/up.aspx #密码admin,上传IIS6.0.exe提权工具到回收站目录下
    在这里插入图片描述
    在这里插入图片描述

    第十三步: 回到一开始的大马,进入[CMD执行]模块,键入C:\RECYCLER\IIS6.0.exe "whoami" #注意执行命令的格式
    在这里插入图片描述
    第十四步: 依次输入以下命令,从而创建用户demo1,加入到管理员组,开启3389端口,远程连接靶机。
    C:\RECYCLER\IIS6.0.exe "net user demo1 123 /add"                                       #添加用户
    在这里插入图片描述

    C:\RECYCLER\IIS6.0.exe "net localgroup administrators demo1 /add"         #加入管理员组
    在这里插入图片描述
    C:\RECYCLER\IIS6.0.exe "net user"                                 #查看创建的用户
    在这里插入图片描述

    C:\RECYCLER\IIS6.0.exe "netstat -ano"                            #查看开启的端口
    在这里插入图片描述

    C:\RECYCLER\IIS6.0.exe "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"                                                                      #开启3389
    在这里插入图片描述
    C:\RECYCLER\IIS6.0.exe "netstat -ano"                            #查看开启的端口
    在这里插入图片描述
    最后一步: 键入win+r,输入mstsc,填写靶机ip,刚刚创建的账号,从而达到远程登录的目的。
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    附1:部分系统漏洞对应补丁号

    Win2003

    KB2360937|MS10-084
    KB2478960|MS11-014
    KB2507938|MS11-056
    KB2566454|MS11-062
    KB2646524|MS12-003
    KB2645640|MS12-009
    KB2641653|MS12-018
    KB944653|MS07-067
    KB952004|MS09-012 PR
    KB971657|MS09-041
    KB2620712|MS11-097
    KB2393802|MS11-011
    KB942831|MS08-005
    KB2503665|MS11-046
    KB2592799|MS11-080
    KB956572|MS09-012烤肉
    KB2621440|MS12-020
    KB977165|MS10-015Ms Viru
    KB3139914|MS16-032
    KB3124280|MS16-016
    KB3134228|MS16-014
    KB3079904|MS15-097
    KB3077657|MS15-077
    KB3045171|MS15-051
    KB3000061|MS14-058
    KB2829361|MS13-046
    KB2850851|MS13-053EPATHOBJ 0day 限32位
    KB2707511|MS12-042 sysret -pid
    KB2124261|KB2271195 MS10-065 IIS7
    KB970483|MS09-020IIS6
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30

    Win2008

    KB3139914|MS16-032
    KB3124280|MS16-016
    KB3134228|MS16-014
    KB3079904|MS15-097
    KB3077657|MS15-077
    KB3045171|MS15-051
    KB3000061|MS14-058
    KB2829361|MS13-046
    KB2850851|MS13-053EPATHOBJ 0day  限32位
    KB2707511|MS12-042 sysret -pid
    KB2124261|KB2271195  MS10-065 IIS7
    KB970483|MS09-020IIS6
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    Win2012

    KB3139914|MS16-032
    KB3124280|MS16-016
    KB3134228|MS16-014
    KB3079904|MS15-097
    KB3077657|MS15-077
    KB3045171|MS15-051
    KB3000061|MS14-058
    KB2829361|MS13-046
    KB2850851|MS13-053EPATHOBJ 0day  限32位
    KB2707511|MS12-042 sysret -pid
    KB2124261|KB2271195  MS10-065 IIS7
    KB970483|MS09-020IIS6
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    附2:aspx权限高于asp的示例

    在这里插入图片描述

  • 相关阅读:
    STL-deque
    RabbitMQ集群搭建详细介绍以及解决搭建过程中的各种问题 + 配置镜像队列——实操型
    Pdf文件签名检查
    20 C++设计模式之迭代器(Iterator)模式
    Spring Boot之Spring MVC的工作原理 以及使用eclipse开发Spring MVC的Web应用实战(附源码)
    事务的特性
    nginx反向代理location和proxy_pass的映射关系
    关于spring嵌套事务,我发现网上好多热门文章持续性地以讹传讹
    行为型模式-命令模式
    k8s中应用GlusterFS类型StorageClass
  • 原文地址:https://blog.csdn.net/qq_45555226/article/details/125605798