目標(biāo)站點(diǎn)環(huán)境：
Windows Server 2008 R2 x64
PHP Version 5.4.31
MySQL Server 5.5

開啟安全模式禁用一些函數(shù):disable_functions,exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod,escapeshellarg,escapeshellcmd,sh2_exec,proc_terminate,proc_close：
 

C盤根目錄無(wú)讀，D盤全盤瀏覽。mysql降權(quán)單獨(dú)用戶，sqlserver端口修改為1434，數(shù)據(jù)庫(kù)sa密碼不正確，也無(wú)法利用。
站點(diǎn)支持aspx，上傳大馬看下，補(bǔ)丁打的比較多，vmware虛擬機(jī)， 安裝了 206 個(gè)修補(bǔ)程序。EXP本地溢出無(wú)果：

       發(fā)現(xiàn)FileZilla server.exe進(jìn)程

       然后轉(zhuǎn)發(fā)14147端口到外網(wǎng)IP，下載D:\Program Files\FileZilla_server\的安裝目錄到本地，鏈接外網(wǎng)的端口登入：
添加ftpadmin帳號(hào)C盤根目錄，給足權(quán)限。

到這里的話，思路就是用這個(gè)FTP帳號(hào)去修改，system32下sethc.exe，然后5次shift你懂的。但是2008系統(tǒng)權(quán)限比2003嚴(yán)格一點(diǎn)，導(dǎo)致系統(tǒng)文件是不能修改和刪除重命名，這里是沒有辦法利用：

這個(gè)時(shí)候，提權(quán)的思路就以下幾種：
1.通過(guò)FTP去篡改他桌面上快捷方式，路徑指向給修改到我們的惡意程序。（比較被動(dòng)）不推薦
2.上傳利用到2008啟動(dòng)項(xiàng) 目錄里，c:/users/administrator/appdata/roaming/microsoft/windows/start menu/programs/startup/
但是需要服務(wù)器重啟后，為了提高成功率，我本地搭建個(gè)差不多一樣的環(huán)境測(cè)試一下：寫個(gè)加帳號(hào)的批處理，用BatToExeConverter給轉(zhuǎn)成exe放到測(cè)試環(huán)境里
 

直接強(qiáng)制重啟，

需要管理員登錄系統(tǒng)，才能觸發(fā)。還是有一些被動(dòng)，一時(shí)半會(huì)管理員也登陸不上。。。。
只有用第三種了。

3.替換system系統(tǒng)服務(wù)程序，進(jìn)行提權(quán)。

利用ASPXSPY查看下，找啟動(dòng)方式為auto的，這里就替換vmtools的程序vmtoolsd.exe，當(dāng)然也可以替換其他的比如mysql（降權(quán)就算了），sqlserver等服務(wù)，記的再替換回來(lái)。

然后使用剛出來(lái)的webdav漏洞BSoD.exe使服務(wù)器藍(lán)屏重啟，重啟完以后成功添加帳號(hào)temp

記的登錄系統(tǒng)后，替換的服務(wù)是停止?fàn)顟B(tài)，把vmtoolsd.exe給改回來(lái)，服務(wù)給啟動(dòng)恢復(fù)原樣。
本地測(cè)試的時(shí)候，可能會(huì)出現(xiàn)，重啟完后替換的程序沒有執(zhí)行，這時(shí)候可以考慮一下把利用程序和替換的程序，綁成一個(gè)，測(cè)試也可以成功。
由于沒有殺毒軟件，或者WAF才如此順利，可能會(huì)遇到的環(huán)境會(huì)更復(fù)雜。

防御方法：禁止本地14147端口連接外部?；蛘邔⑦@個(gè)ftp服務(wù)器低權(quán)限運(yùn)行。

作者：@y0uki11 轉(zhuǎn)載于90sec

最新評(píng)論