0x01 前言背景
端午短暂休息三天,复工之后朋友又丢给我一个Webshell,在打台球途中了解了一下这个奇怪的shell,说是无法执行命令,经过测试发现只能执行dir命令,确实奇怪,草草打了几局台球就回去拿起电脑开日
0x02 第一天(步入正题)
菜刀上面写着当前用户为SYSTEM,但是执行任何命令都没有回显,要不是这个shell可以上传下载浏览文件,我都怀疑这个shell是假的了
难道是disable_function禁用了高危函数吗?
查看phpinfo发现disable_function也没禁用呀
至于这种没有任何回显的shell,一时间有点不知所措,那么就先翻一下文件吧(这是在没有思路情况下的一种思路)
顺便也可以了解目标机器的环境,是否存在杀软,是否宝塔面板搭建的等等......每一个环境都有每一种思路
翻到了root用户的数据库连接密码,使用蚁剑连接数据库查看一下
好家伙,还有很多的旁站,先不管了,尝试一下UDF提权
尽管webshell已经是system权限了,但是为了能够执行命令,还是UDF提权一下,顺便复习一下
这里UDF提权过程就省略了,因为UDF提权失败了,首先是无法自动导出DLL到lib/plugins目录,手动导出被杀。
失败的原因是因为服务器上存在安全狗和360,提权的过程总有一些奇奇怪怪的失败原因,可能就是它两在作祟吧
最终数据库提权失败,只能另寻出路了,想办法尝试绕过安全狗和360执行命令,而且这个360+安全狗很强啊,任何命令都没有给执行,以前也遇到过存在360的机器,至少可以执行部分命令,于是开始初步怀疑这个shell是不是被拦截了,但是没有被杀
然后换一个大马上去试试。
结果也是只能执行dir命令,后来才知道,这就是朋友嘴里说的能够执行dir命令
其他执行命令也是没有任何回显,正在我挨个尝试哪些命令没有被拦截时,突然网站开始转圈圈了,服务器宕机了。被迫休息了,难受的是到目前为止对这个站还是一点思路都没有。
躺在床上思索,把他上线到cs,是不是就能够有更大的一个操作空间呢,于是打算等他恢复了就第一时间上线cs
0x03 第二天(逐步深入)
一早就打开电脑,看一看网站有没有恢复,(温馨提示:日站不能急,以前有一个站挂了之后没人管到目前为止都没恢复)还好,这个网站恢复的很快,连上我们啥也不能干的Webshell,把免杀的cs加载器上传上去。
这里免杀加载器的思路就是首先将Shellcode进行加密混淆,放置远程服务器上并开启http服务,然后再使用加载器去远程加载我们的Shellcode
由于这个加载器中并没有恶意的Shellcode,所以自然也不会报毒(这里只做一个思路讲解,不公开加载器)
但是这个Shell好像是任何命令都无法执行,我们使用大马试试
大马也无法执行exe,但是我总觉得还没完,去搜素一下php大马绕过360
功夫不负有心人,在不知道阅读了多少篇文章之后,找到了一个思路,bat里面执行命令:
1.bat里面写 start 1.exe
使用Webshell去执行1.bat批处理文件,然后批处理文件里面是执行1.exe文件,先写一个简单的批处理脚本试一下
成功的执行了批处理文件,那么我们再把批处理文件的内容修改一下,修改成我们想执行的命令
结果发现没有上线,下面虽然有了回显,但是因为是乱码,也不知道回显的是什么,问了很多人,都说是被杀了,但是我不信啊,明明是拳打安全狗脚踢360的产物,却被人说是被杀了,于是乎再上一个大马,在大马中执行
这次看到了回显,回显的内容是我的批处理文件内容,但是也没有上线,难道是写的批处理文件有问题吗?
本地执行一下,秒上线,并且没有被杀软拦截
那就说明,还是被不可抗拒因素拦截了执行命令。
一时之间不知道应该如何操作了,在大马里面乱点,想寻找新的思路
然后看到了这个反弹提权,一直都没用过这个功能,但是想着有两个杀软在,应该也没那么容易弹出来吧
然后居然弹出来了,执行命令还是没有回显,但是这个shell可以执行我们的批处理文件,就这样,把他上线到了cs上面,果然是个system权限,也不需要绕360提权了
搞事情来了,cs的shell都无法执行命令,这360杀疯了.....导致环境变量错乱,在调用的时候输入完整路径来调用,不过我们可以见招拆招,直接使用绝对路径去运行whoami.exe不通过cmd来执行
OK,现在就可以正常执行命令了。
但是我们的目的是上RDP,抓一下hash
但是Administrator的用户是强口令,并没有解出NTLM值
Guest来宾账户是弱口令,解密出来,但是Guest并没有开启,我们还需要吧Guest开启并添加至管理组
但是360拦住了,不让执行net user,那我们通过argue参数污染绕过AV
使用argue进行参数污染net1然后在进行查看
成功污染之后我们就可以执行net1,并且不会被拦截了
那么Guest用户就被添加至管理组,然后我们查看RDP对应端口
然后直接连接3389即可
那么整个的绕过安全狗和360就到此结束了,其实Administrator用户也是可以上的,但是由于是Aliyun云服务器,动静会比较大,就到此为止了,主要还是学习提权中的思路。
