记一次绕过安全狗与360艰难提权

记一次绕过安全狗与360艰难提权

前言背景

端午短暂休息三天，复工之后朋友又丢给我一个​​Webshell​​​，在打台球途中了解了一下这个奇怪的​​shell​​​，说是无法执行命令，经过测试发现只能执行​​dir​​命令，确实奇怪，草草打了几局台球就回去拿起电脑开日

第一天（步入正题）

菜刀上面写着当前用户为​​SYSTEM​​​，但是执行任何命令都没有回显，要不是这个​​shell​​​可以上传下载浏览文件，我都怀疑这个​​shell​​是假的了

难道是​​disable_function​​禁用了高危函数吗？

查看​​phpinfo​​​发现​​disable_function​​也没禁用呀

至于这种没有任何回显的​​shell​​​，一时间有点不知所措，那么就先翻一下文件吧（这是在没有思路情况下的一种思路）顺便也可以了解目标机器的环境，是否存在杀软，是否宝塔面板搭建的等等......每一个环境都有每一种思路

翻到了​​root​​用户的数据库连接密码，使用蚁剑连接数据库查看一下

好家伙，还有很多的旁站，先不管了，尝试一下​​UDF​​​提权尽管​​​webshell​​​已经是​​system​​​权限了，但是为了能够执行命令，还是​​UDF​​​提权一下，顺便复习一下这里​​​UDF​​​提权过程就省略了，因为​​UDF​​​提权失败了，首先是无法自动导出​​DLL​​​到​​lib/plugins​​目录，手动导出被杀。

失败的原因是因为服务器上存在安全狗和​​360​​，提权的过程总有一些奇奇怪怪的失败原因，可能就是它两在作祟吧

最终数据库提权失败，只能另寻出路了，想办法尝试绕过安全狗和​​360​​​执行命令，而且这个​​360​​​+安全狗很强啊，任何命令都没有给执行，以前也遇到过存在​​360​​​的机器，至少可以执行部分命令，于是开始初步怀疑这个​​shell​​​是不是被拦截了，但是没有被杀然后换一个大马上去试试。

结果也是只能执行​​dir​​​命令，后来才知道，这就是朋友嘴里说的能够执行​​dir​​命令

其他执行命令也是没有任何回显，正在我挨个尝试哪些命令没有被拦截时，突然网站开始转圈圈了，服务器宕机了。被迫休息了，难受的是到目前为止对这个站还是一点思路都没有。

躺在床上思索，把他上线到​​cs​​​，是不是就能够有更大的一个操作空间呢，于是打算等他恢复了就第一时间上线​​cs​​

第二天（深入拿下）

一早就打开电脑，看一看网站有没有恢复，（温馨提示：日站不能急，以前有一个站挂了之后没人管到目前为止都没恢复）还好，这个网站恢复的很快，连上我们啥也不能干的​​Webshell​​​，把免杀的​​cs​​​加载器上传上去。这里免杀加载器的思路就是首先将​​​Shellcode​​​进行加密混淆，放置远程服务器上并开启​​start 1.exe

使用​​Webshell​​​去执行​​1.bat​​​批处理文件，然后批处理文件里面是执行​​1.exe​​文件，先写一个简单的批处理脚本试一下

成功的执行了批处理文件，那么我们再把批处理文件的内容修改一下，修改成我们想执行的命令

结果发现没有上线，下面虽然有了回显，但是因为是乱码，也不知道回显的是什么，问了很多人，都说是被杀了，但是我不信啊，明明是拳打安全狗脚踢​​360​​的产物，却被人说是被杀了，于是乎再上一个大马，在大马中执行

这次看到了回显，回显的内容是我的批处理文件内容，但是也没有上线，难道是写的批处理文件有问题吗？

本地执行一下，秒上线，并且没有被杀软拦截

那就说明，还是被不可抗拒因素拦截了执行命令。

一时之间不知道应该如何操作了，在大马里面乱点，想寻找新的思路

然后看到了这个反弹提权，一直都没用过这个功能，但是想着有两个杀软在，应该也没那么容易弹出来吧

然后居然弹出来了，执行命令还是没有回显，但是这个​​shell​​​可以执行我们的批处理文件，就这样，把他上线到了​​cs​​​上面，果然是个​​system​​​权限，也不需要绕​​360​​提权了

搞事情来了，​​cs​​​的​​shell​​​都无法执行命令，这​​360​​​杀疯了.....导致环境变量错乱，在调用的时候输入完整路径来调用，不过我们可以见招拆招，直接使用绝对路径去运行​​whoami.exe​​​不通过​​cmd​​来执行

OK，现在就可以正常执行命令了。

但是我们的目的是上​​RDP​​​，抓一下​​hash​​

但是​​Administrator​​​的用户是强口令，并没有解出​​NTLM​​值

​​Guest​​​来宾账户是弱口令，解密出来，但是​​Guest​​​并没有开启，我们还需要吧​​Guest​​开启并添加至管理组

但是​​360​​​拦住了，不让执行​​net user​​​，那我们通过​​argue​​​参数污染绕过​​AV​​

使用​​argue​​​进行参数污染​​net1​​​然后在进行查看成功污染之后我们就可以执行​​​net1​​，并且不会被拦截了

那么​​Guest​​​用户就被添加至管理组，然后我们查看​​RDP​​对应端口

然后直接连接3389即可

那么整个的绕过安全狗和​​360​​​就到此结束了，其实​​Administrator​​​用户也是可以上的，但是由于是​​Aliyun​​云服务器，动静会比较大，就到此为止了，主要还是学习提权中的思路。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。