起因:某日某群某人
有句话说的很好“如果你还没瞎,就别用耳朵去了解!” ,还是自己去琢磨下比较保险。
运气好,是system权限。
本以为应该很简单,但是……
systeminfo查询得出系统信息:win7旗舰版 目测X86系统。
没错就是win7,但发现3389无法连接。
随机执行tasklist /svc命令得出:360全套+服务器安全狗
在通过netstat -ano命令得出:3389端口是开启
出现上面得出思路:
1.tcp/ip筛选
2.防火墙
3.安全狗拦截
4.内网环境
一般情况大家可能通过菜刀得出ip。
这个Ip给出的是不准确的,如果你不相信可以就试试做了cdn的网站。
建议也不要通过域名去连接服务器。因为…..
通过ipconfig得出服务器真实ip:XX.XX.XX.XX(确定是外网)
本地telnet 目标ip 端口 发现没有连接上。
通过query user命令:发现管理员在线且账户为administrator
综合上面问题再次分析:
我经常用win7系统,当win7+360全套的时候,每次杀毒都会提示让电脑开启防火墙。
既然管理员会用win7系统当做服务器那么,安全狗桌面守护开启的几率很小。
为了证明我执行了一句关闭防火墙命令:
Default
|
1 |
netsh firewall set opmode disable |
果然是防火墙的问题,可以连接。
既然如此,完成任务。交给酷帅牛。
出现这类情况请注意:本地应该是xp,mstsc不行,请更换win7以上的mstsc。
反之,有些服务器或电脑需要win7以下的mstsc才能连接。(3389链接不上的解决方法请看《突破各种对3389连接的访问限制》)
——————————————————————————————————————————————
原以为这样就完事了,开了一天的会,到了晚上吃完饭,在群里看见又是酷帅牛。
酷帅牛居然还没有进服务器,好吧。不要研究目录权限了,直接进服务器不是啥都有了么。
随后和酷帅牛交换工作,我继续帮他深入提权。
既然是system权限了,不需要任何溢出权限,加个账户就好了。
执行net user xxxxx…………
没能回显,确定是安全狗在捣乱(早就想到了)
自行上传cmd+net1-net111
执行结果让我失望。
多种方法都执行了不行
菜刀里面运行exe程序要加引号。
多款免杀的都不行,再次肯定是狗又在捣乱。
在webshell下程序都会以exe的后缀去执行。菜刀里面我就不说了。
在目录下翻到root密码
由于网站目录限制的非常严,不允许上传修改任何文件。服务器有360和安全狗就暂时放弃了。
既然net不行,那就直接爆hash。getpass有些时候暴不出,为了避免这里我直接开始hash。
爆出不完整的,没办法解密。二次利用getpass爆密码。得出密码是空。
经过尝试,密码果然是空,但是被组策略拦截了,空密码只允许本地登录,不允许远程登录。
上远控不免杀肯定是不行的。直接被杀了。
期间上了好多api加账户的,包括aio克隆。f4ck,Seay,dadan,wlozz,add统统都不可以加,还有好多直接被杀。
通过vbs脚本,和bat脚本进行加账户。也是不行。尝试结束安全狗,找出安全狗的进程,bat批量结束并且在后门加入了其他命令。
大体就是先结束,在停止服务。下面还有允许exe等等的命令。在菜刀执行了一下。
只有安全狗被暂时结束了,其他命令没有执行成功。
迫于无奈,只有增加开机启动了。因为每次电脑开启的时候都会加载,而且开机启动脚本比安全狗启动要快。
在安全狗之前添加账户理论上是可以的。修改修改脚本,开机启动项加载进去。也没细看添加到启动项没有。
直接shutdown -r -t 5重启服务器,然后去了趟厕所,回来的时候。
虽然可能大概应该没有添加到系统启动项,但是重启后让我惊喜的就是上图。
你没看错,360sd没了。(其实是开机启动没启动)。
query user查询用户没有发现用户在线,如果用户登陆的情况下,杀毒马上就会起来(不信你去试试)。
这回没了杀毒继续上api添加账户工具。没错,不行就重启服务器没准能有意外呢。(当年我提权过一台,重启后安全狗开了,直接给我拦截到shell处了)
-ConfigService 可以修改开机启动,把安全狗360等等都禁止启动在重启服务器。
-Clone 克隆没有成功,查看密码hash还是一样
通过注册表添加账户显示成功。
net user查询不了,不知道成功添加上没。这里用getpass或pw7看一下。
结果你懂得。看吧,这个api就可以。添加。
提权就结束了,win7系统。看到360杀毒启动了吧?
附上张服务器安全配置图:
总结:很多人以为自己是system权限了,就能做一切的事情,狗狗和360一起给这些人敲了一棒。