概述 (Overview)
攻击链 (Kiillchain)
TTPs (Tactics, Techniques & Procedures)
- autorecon
- metasploit-framework or Seclists Web-shell
- winPEAS or wes.py
- ms11-046
阶段1:枚举
首先通过 nmap 扫描发现开发了 21、80 端口,在浏览器中查看Web服务为iis,在header中能看到具体版本号:7.5。很新了,这里还可以更具允许安全IIS7.5的限制条件反推OS系统。
查看nmap的对ftp的扫描结果,发现存在允许允许匿名访问。逐对比了下文件目录,确定该目录正是IIS Web部署的虚拟主机目录。
阶段2:工具和利用
阶段2.1:Upload WebShell
接下来就简单了,可以使用 msfvenom aspx
来反弹 session,然后 local_exploit_suggester
找利用。但本着学习的目的,不想太依赖MSF逐稳固基础知识。
这里我上传的是 SecLists 中的 aspx Webshell 脚本,页面功能仅一个简单的命令执行。
阶段2.2:NC cmd Shell
然后使用Webshell上传NC,并反链一个cmd到本地的NC监听。文件的传输依然用的是 impacket-smbserver
。
阶段3:权限提升
先传一个 winPEAS 至服务器,让后运行它并将结果写回至 impacket-smbserver
的目录下方便查看。
可以看到存在很多可以利用的漏洞。
逐而用 wes.py 又分析了下 systeminfo 信息检索下能用于提权的CVE。
逐一尝试,发现很多利用工具都不是之间将cmd升至system,而是会弹出一个具有system的新cmd。这种方式在此处明显不适用。
最终 ms11-046 成功将当前cmd升至system权限。