記一次景安虛擬主機(jī)提權(quán)案例

時間：2023-07-01 22:48:02 | 來源：網(wǎng)站運(yùn)營

時間：2023-07-01 22:48:02 來源：網(wǎng)站運(yùn)營

記一次景安虛擬主機(jī)提權(quán)案例：注：本文轉(zhuǎn)自公眾號“瀟湘信安”


0x01 前言

這個案例也是那個朋友發(fā)我的，寫這篇文章只是為了驗(yàn)證《西部數(shù)碼云主機(jī)失敗提權(quán)案例》文中所提到的提權(quán)思路，那個目標(biāo)最終沒能利用135端口執(zhí)行命令，而這個目標(biāo)是可以利用135端口執(zhí)行命令，并且已成功拿到SYSTEM權(quán)限，兩個目標(biāo)環(huán)境相差無幾，所以就不去詳細(xì)記錄整個過程了。

0x02 信息搜集

目標(biāo)機(jī)器基本信息：

Web絕對路徑：D:/wwwroot/HA522674/WEB/目標(biāo)系統(tǒng)：Windows2016Datacenter(10.0.14393暫缺Build14393).當(dāng)前權(quán)限：win-lm9o2t7ve98/ha522674開放端口：21、80、135、3306、65132（TermService）可讀寫目錄：C:/ProgramData/

中國菜刀虛擬終端執(zhí)行命令時會因權(quán)限問題而提示“ERROR:// 拒絕訪問。”，在可讀寫目錄中上傳個cmd.exe即可解決，但還是限制了大部分命令的執(zhí)行，自己上傳的也不行。




注：這里目前是無法直接通過中國菜刀執(zhí)行相關(guān)命令做信息搜集的，但是可以在得到MSF會話后執(zhí)行g(shù)etuid、sysinfo、ps、netstat等命令來搜集目標(biāo)主機(jī)基本信息，都是基于Stdapi執(zhí)行的。

0x03 實(shí)戰(zhàn)提權(quán)過程

權(quán)限已經(jīng)掉了，本地做的復(fù)現(xiàn)，忘了當(dāng)時里邊是有什么安全防護(hù)了，最終是利用mshta白名單獲取的MSF會話，然后通過post/windows/gather/hashdump模塊直接抓取到目標(biāo)哈希值。

使用Powershell命令查看HKLM/SAM/SAM注冊表權(quán)限基本可以確定是Users可讀問題。


將支持135 HASH傳遞的工具Sharp-WMIExec.exe上傳至C:/ProgramData/可讀寫目錄中，然后另起個命令終端執(zhí)行MSF監(jiān)聽，最后再通過Sharp-WMIExec.exe進(jìn)行哈希傳遞時利用mshta白名單執(zhí)行Payload即可得到Administrator，getsystem提升至SYSTEM權(quán)限。

Sharp-WMIExec參數(shù)說明：

-?、--help =VALUE//幫助-t，--target =VALUE//目標(biāo)主機(jī)名或IP地址-u，--username =VALUE//用于身份驗(yàn)證的用戶名-d，--domain =VALUE//用于身份驗(yàn)證的域-h，--hash =VALUE//用于身份驗(yàn)證的NTLM密碼哈希，支持LM:NTLM或NTLM-c，--command =VALUE//在目標(biāo)上執(zhí)行的命令--sleep =VALUE//睡眠時間（以秒為單位）--debug//啟用調(diào)試