Devel-Writeup

概述 (Overview)

62848379.png

攻击链 (Kiillchain)

40146084.png

TTPs (Tactics, Techniques & Procedures)

  • autorecon
  • metasploit-framework or Seclists Web-shell
  • winPEAS or wes.py
  • ms11-046

阶段1:枚举

首先通过 nmap 扫描发现开发了 21、80 端口,在浏览器中查看Web服务为iis,在header中能看到具体版本号:7.5。很新了,这里还可以更具允许安全IIS7.5的限制条件反推OS系统。
57281267.png
57267232.png
查看nmap的对ftp的扫描结果,发现存在允许允许匿名访问。逐对比了下文件目录,确定该目录正是IIS Web部署的虚拟主机目录。
57350470.png

阶段2:工具和利用

阶段2.1:Upload WebShell

接下来就简单了,可以使用 msfvenom aspx 来反弹 session,然后 local_exploit_suggester 找利用。但本着学习的目的,不想太依赖MSF逐稳固基础知识。

这里我上传的是 SecLists 中的 aspx Webshell 脚本,页面功能仅一个简单的命令执行。

57586564.png
57856548.png

阶段2.2:NC cmd Shell

然后使用Webshell上传NC,并反链一个cmd到本地的NC监听。文件的传输依然用的是 impacket-smbserver

58178161.png

阶段3:权限提升

先传一个 winPEAS 至服务器,让后运行它并将结果写回至 impacket-smbserver 的目录下方便查看。

58348309.png
可以看到存在很多可以利用的漏洞。
58539848.png
逐而用 wes.py 又分析了下 systeminfo 信息检索下能用于提权的CVE。
59575797.png

逐一尝试,发现很多利用工具都不是之间将cmd升至system,而是会弹出一个具有system的新cmd。这种方式在此处明显不适用。

最终 ms11-046 成功将当前cmd升至system权限。

62387921.png

62537867.png

参考


版权声明

除非另有说明,本网站上的内容均根据 Creative Commons Attribution-ShareAlike License 4.0 International (CC BY-SA 4.0) 获得许可。