现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
前段时间@IIX Fiber师傅投稿的一篇实战提权文章,文中他用到的steal_token方法我在本地测试发现猫猫CS4.5和CS4.9两个版本均会掉线,可能与我测试环境或CS版本有关,实战中大家自行测试。
0x01 前期测试
cmd啥的可以突破,或者直接上免杀的马子、exp,前提做好免杀,cmd也是。server 2016 x64iis权限默认的iis配置等信息
这里我们先试试用哥斯拉自带的土豆提权试试,可以看到虽然拿到了system token,但是在CreateProcessAsUser这里被拦截了,所以无法执行命令。
但支持aspx .net,因为目标支持.net,这里为了快速拿下,我直接.net加载shellcode上线CS,一把梭不浪费时间了,这里memorype也可以。
注:这里我还要说一个技巧,因为我们的注入进程文件是csc.exe,这里不要用默认的rundll32.exe,会被拦截,csc.exe这个文件是白名单,白名单进程拦截相对较少,如果使用rundll32.exe上线后面做啥都会拦截,因为这个rundll32.exe被杀软监控的很死,一般情况下连上线都不行。
0x02 绕过提权
execute-assembly命令内存加载不落地执行我们编译好的土豆,这里我使用efspotato,这里可以看到上线了一个system权限的会话。注:此处的shellcode用默认的就行了,不要用stagerless的shellcode会卡死,前面上线可以用stagerless的shellcode,这里不要用会直接把cs卡死,因为太长了字符串。
但是只是线程是system的,这个时候也很好解决
使用steal_token解决这个问题,后面我们的操作就很容易了
我们也可以使用inject来迁移一个进程,进程迁移
更多更完整的Windows提权Exploit可在星球下载我们的CobaltStrike后渗透插件(PostExpKit)体验,如使用中有问题欢迎反馈交流。
关注我们
还在等什么?赶紧点击下方名片开始学习吧
知 识 星 球
推 荐 阅 读
