FileZilla Server 2008 x64 提權(quán)與防御方法

目標站點環(huán)境:
Windows Server 2008 R2 x64
PHP Version 5.4.31
MySQL Server 5.5
開啟安全模式禁用一些函數(shù):disable_functions,exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod,escapeshellarg,escapeshellcmd,sh2_exec,proc_terminate,proc_close:
C盤根目錄無讀,D盤全盤瀏覽。mysql降權(quán)單獨用戶,sqlserver端口修改為1434,數(shù)據(jù)庫sa密碼不正確,也無法利用。
站點支持aspx,上傳大馬看下,補丁打的比較多,vmware虛擬機, 安裝了 206 個修補程序。EXP本地溢出無果:
發(fā)現(xiàn)FileZilla server.exe進程
然后轉(zhuǎn)發(fā)14147端口到外網(wǎng)IP,下載D:\Program Files\FileZilla_server\的安裝目錄到本地,鏈接外網(wǎng)的端口登入:
添加ftpadmin帳號C盤根目錄,給足權(quán)限。
到這里的話,思路就是用這個FTP帳號去修改,system32下sethc.exe,然后5次shift你懂的。但是2008系統(tǒng)權(quán)限比2003嚴格一點,導(dǎo)致系統(tǒng)文件是不能修改和刪除重命名,這里是沒有辦法利用:
這個時候,提權(quán)的思路就以下幾種:
1.通過FTP去篡改他桌面上快捷方式,路徑指向給修改到我們的惡意程序。(比較被動)不推薦
2.上傳利用到2008啟動項 目錄里,c:/users/administrator/appdata/roaming/microsoft/windows/start menu/programs/startup/
但是需要服務(wù)器重啟后,為了提高成功率,我本地搭建個差不多一樣的環(huán)境測試一下:寫個加帳號的批處理,用BatToExeConverter給轉(zhuǎn)成exe放到測試環(huán)境里
直接強制重啟,
需要管理員登錄系統(tǒng),才能觸發(fā)。還是有一些被動,一時半會管理員也登陸不上。。。。
只有用第三種了。
3.替換system系統(tǒng)服務(wù)程序,進行提權(quán)。
利用ASPXSPY查看下,找啟動方式為auto的,這里就替換vmtools的程序vmtoolsd.exe,當然也可以替換其他的比如mysql(降權(quán)就算了),sqlserver等服務(wù),記的再替換回來。
然后使用剛出來的webdav漏洞BSoD.exe使服務(wù)器藍屏重啟,重啟完以后成功添加帳號temp
記的登錄系統(tǒng)后,替換的服務(wù)是停止狀態(tài),把vmtoolsd.exe給改回來,服務(wù)給啟動恢復(fù)原樣。
本地測試的時候,可能會出現(xiàn),重啟完后替換的程序沒有執(zhí)行,這時候可以考慮一下把利用程序和替換的程序,綁成一個,測試也可以成功。
由于沒有殺毒軟件,或者WAF才如此順利,可能會遇到的環(huán)境會更復(fù)雜。
防御方法:禁止本地14147端口連接外部?;蛘邔⑦@個ftp服務(wù)器低權(quán)限運行。
作者:@y0uki11 轉(zhuǎn)載于90sec
相關(guān)文章
- Filazilla是一個非常流行的開源的免費的FTP客戶端、服務(wù)器端的項目,目前其客戶端軟件Filezilla Client 3.0有著非常廣泛的市場。2012-08-01
- 明白以上三點后現(xiàn)在就是嘗試如何連接到服務(wù)器上的FileZilla Server。首先查看FileZilla Server Interface.xml中的內(nèi)容2012-06-29
- 這篇文章主要介紹了詳解Filezilla server 提權(quán),需要的朋友可以參考下2017-05-13