Web安全之Windows提权

提权方式:

          操作系统漏洞提权
               systeminfo
               查看修补的补丁编号
               PR               -pr.exe
               巴西烤肉
               IIS6溢出     -iis6.exe
               LPK劫持     -lpk.dll

windows 2003>>

     systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191
     KB2840221 KB3000061 KB2850851 KB2711167 KB2360937
     KB2478960 KB2507938 KB2566454 KB2646524 KB2645640
     KB2641653 KB944653 KB952004 KB971657 KB2620712
     KB2393802 KB942831 KB2503665 KB2592799 KB956572
     KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|
     @find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows
     \Temp\temp.txt

通用型>>

     systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280
     KB3143141 KB3134228 KB3079904 KB3077657 KB3124280
     KB3045171 KB2829361 KB3000061 KB2850851 KB2707511
     KB970483 KB2124261 KB2271195) do @type C:\Windows
     \Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /
     q /a C:\Windows\Temp\temp.txt

查看未补漏洞 根据没有修补的补丁号码,到网上找利用程序 进行利用

实例演示:
此实验环境为搭建环境,仅供学习参考交流。

拿到一个shell 之后查看对方服务器信息

Web安全之Windows提权_第1张图片
Image.png
Web安全之Windows提权_第2张图片
Image.png
Web安全之Windows提权_第3张图片
Image.png

执行 自带的cmd.exe发现不可用

Web安全之Windows提权_第4张图片
Image.png
Web安全之Windows提权_第5张图片
Image.png

拒绝访问 说明权限不允许,我们自己上传一个cmd.exe 上传目录的要求是:可读、可写、可执行

Web安全之Windows提权_第6张图片
Image.png
Web安全之Windows提权_第7张图片
Image.png
Web安全之Windows提权_第8张图片
Image.png

asp 文件上传功能无法使用 ,由于服务器支持aspx 使用asp webshell 新建一个 aspx webshell 文件.一般aspx的权限都比较大。

Web安全之Windows提权_第9张图片
Image.png

我们用新建 文本功能在 网站根目录下 创建一个名字为 LWyeye.aspx 的aspx的webshell

Web安全之Windows提权_第10张图片
Image.png

访问一下我们写入的 aspx  webshell

Web安全之Windows提权_第11张图片
Image.png

登录成功


Web安全之Windows提权_第12张图片
Image.png

aspx 权限一般比较大。可以直接执行 Cmd.exe

Web安全之Windows提权_第13张图片
Image.png

但是使用aspx 的shell 执行其他命令是 一直网页一直卡死不动 ,因此我们尝试 使用apsx上传一个 cmd.exe 然后使用asp 的webshell 执行命令

Web安全之Windows提权_第14张图片
Image.png

可以看到 可以我们上传的 cmd.exe可以使用了

Web安全之Windows提权_第15张图片
Image.png

接下来我们执行检测 补丁号的脚本

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt
Web安全之Windows提权_第16张图片
Image.png

我们使用 iis6.exe提权,使用 aspx上传 iis6.exe 并执行

Web安全之Windows提权_第17张图片
Image.png
Web安全之Windows提权_第18张图片
Image.png

接下来我们修改帮助账号为管理员 (不容易被发现)或者查看管理员 是否未注销 可以直接getpass

Web安全之Windows提权_第19张图片
Image.png

创建一个新用户

Web安全之Windows提权_第20张图片
Image.png
Web安全之Windows提权_第21张图片
Image.png

添加用户到管理员组

Web安全之Windows提权_第22张图片
Image.png
Web安全之Windows提权_第23张图片
Image.png

提取管理员密码

Web安全之Windows提权_第24张图片
Image.png
Web安全之Windows提权_第25张图片
Image.png

你可能感兴趣的:(Web安全之Windows提权)