ps:目标主机是一台server 2008主机,开启了远程服务,但是经过了防火墙过滤(使用nmap扫描显示3389端口未开放),不能进行连接。最后查阅资料使用http隧道工具tunna可以穿透防火墙来达到绕过防火墙的目的。经过使用tunna确实可以绕过防火墙,不过不知为什么,最终没有连接上,可能运气不好吧。最后,使用net stop sharedaccess来关闭防火墙,一切就ok了,可以直接连了,哎开始怎么没想到呢。
一、提权
(1)添加管理员账号
进入webshell后,执行systeminfo命令,发现系统是server 2008的,补丁倒是打了不少,唯独没有KB2592799,看来可以利用ms11080.exe来提权添加管理员账号。
上传ms11080.exe进行提权。执行成功,成功添加账号90sec。
(2)查看远程登录端口
可以看到管理员账号已经添加成功。现在查看远程登录端口。执行命令tasklist /svc可以看到TermService服务对应的PID为1356.
执行netstat -ano命令查看PID为1356对应的端口。
可以看到远程登录端口没有修改,还是3389端口。
二、利用http隧道突破防火墙
知道3389端口开放,并且添加成功管理员了,下面就来进行远程登录。但是问题出现了,3389连接不上。
连接不上,一种情况是主机在内网,需要使用lcx进行端口转发。另一种情况是3389端口被防火墙过滤。
查看了一下其IP地址,发现其是外网地址,那么只有一种情况是3389端口被防火墙给过滤了,不准外网来访问。
遇到防火墙过滤,当然可以尝试使用net stop sharedaccess命名来进行关闭。但是我使用该命令并关闭防火墙了任然3389连接不上,看来主机使用了硬件防火墙来进行突破了。使用lcx来尝试转发端口,结果尝试了很多端口都不行,看来只有80端口对外开放,其他端口进行了过滤。
看来现在只能利用HTTP隧道技术工具来尝试了。查阅了资料,找到了HTTP tunneling工具tunna工具。该工具的原理如下:
(1)上传tunna工具的conn.aspx到服务器上。
(2)本地运行proxy.py进行本地连接
执行命令:python proxy.py -u http://222.x.x.x/conn.aspx -l 1234 -r 3389 -v -s
现在远程登录本地的1234端口,然后使用提权时添加的账号进行远程登录即可。
看了一下,服务器性能还不错
ps:其实在实践中即使使用tunna进行端口复用也没能远程登录进去,总到最后被防火墙阻止。最终,通过tasklist /svc命令,找到了一个服务:ntrtscan。查询了一下,该服务是趋势反病毒用用程序的一部分,应该是该进程将远程连接给阻止了。使用taskkill将该进程结束后,就成功的利用tunna连进去了。
三、关闭防火墙与sam获取
进入系统后,发现服务器使用的防护软件是趋势科技防毒墙网络版的文件扫描功能。
现总结一下提权过程:
1.远程桌面服务没开启
可以把
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
保存成bat文件在cmd下找个可写目录然后以system权限运行.
2.IP策略阻拦
sc stop policyagent
3.windows自带防火墙阻拦
net stop sharedaccess
4.其他防火墙阻拦
tasklist /svc此命令可以获取每个进程中主持的服务
看到哪个不是系统自带的服务或者正在运行的进程
用ntsd -c q -pn xxx.exe 和 net stop 还有sc stop 这几个命令以system权限xx掉它.
5.内网
可以通过lcx等转发工具.
参考资料:
2、tunna工具使用实例 http://drops.wooyun.org/tools/650
