<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    記一次繞過安全狗和360提權案例

    VSole2022-08-29 16:37:40

    0x01 前言

    最近遇到這樣一個場景:目標僅支持ASP腳本,而且還存在網站安全狗和360安全衛士,目前存在的兩個問題。

    安全狗"禁止IIS執行程序"限制了命令執行;360"進程防護"攔截了執行木馬和提權、抓明文等;

    這篇文章我們就來分享下在這種場景下的繞過思路,以及在測試中遇到的一些問題。

    0x02 繞過安全狗命令執行限制

    找一個能過安全狗的免殺ASP Webshell,我用的是幾年前做的一個ASP圖片馬,沒想到居然還能過。

    中國蟻劍連接,編碼器選擇用insert_percent,否則可能會連接失敗。

    連上后發現在虛擬終端中執行不了命令,提示:ActiveX 部件不能創建對象

    這是因為wscript.shell命令執行組件被卸載了,試了下shell.application組件,結果發現也不行。

    在虛擬機裝了一個網站安全狗IIS版,并進行了一些測試,最后發現是安全狗【網站防護->行為防護->危險組件防護】給攔截了,默認規則就有wscript.shell、shell.application

    之前我們遇到這種只支持ASP腳本,WScript.Shell、Shell.Application組件被卸載而無法執行命令的都是直接放棄了,因為當時那會確實沒有更好的繞過方法。

    現在可以用中國蟻劍As-Exploits執行自定義Payload來上線MSF,這種方式是加載到w3wp.exe內存中運行的,不依賴于Wscript.shell、Shell.Application。

    這里不僅獲取到了目標主機會話,而且也解決了WScript.Shell、Shell.Application組件被卸載而無法執行命令的問題,通過shell命令就能執行系統命令了。

    注:不過我們還是得注意下安全狗【網站防護->行為防護->禁止IIS執行程序】,這功能也會攔截命令和程序的執行,得通過網站安全狗中的內置白名單來繞過。


    execute -Hc -i -f "c:\windows\system32\cmd.exe" -a "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe"

    sysinfo看了下系統基本信息,可以看到目標系統為x64,而獲取的主機會話為x86,這是因為iis應用池設置啟用了32,所以我們在利用加載w3wp.exe內存上線時也必須用x86的Payload。

    注:ASP/ASP.NET腳本木馬上線、冰蝎/哥斯拉/中國蟻劍/中國菜刀的shellcode加載和自定義代碼執行等上線方式都是直接加載到w3wp.exe內存中運行的,得根據iis應用池位數選擇對應Payload。

    0x03 繞過360執行木馬/提權等

    ms16_075_reflection、ms16_075_reflection_juicy模塊提權時發現報錯了,這是因為當前會話與目標主機位數不一樣,需要先將當前x86會話遷移至x64進程。

    看了下進程列表中只有一個x86的w3wp.exe,沒有其他可用于遷移的x64進程,不過有看見MSSQL數據庫相關進程,所以我們可以通過執行sqlps.exe得到一個可遷移的x64進程。


    x86:C:\Windows\Microsoft.NET\Framework\v4.0.30319\vbc.exex64:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe

    cd切換到sqlps.exe文件所在目錄,ls -S查看sqlps.exe文件是否存在,然后再用execute執行sqlps.exe即可得到一個可遷移的x64進程,注意得加網站安全狗內置白名單文件執行。

    meterpreter > cd "C:\\Program Files (x86)\\Microsoft SQL Server\\100\\Tools\\Binn\\"meterpreter > ls -S "sqlps"meterpreter > execute -Hc -f "sqlps.exe" -a "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe"meterpreter > ps -c

    migrate遷移至剛執行的sqlps.exe進程,接著我們再利用ms16_075_reflection、ms16_075_reflection_juicy模塊都能直接獲取到目標主機System權限,而且也不會再報錯了。

    當我們執行進程遷移跳出IIS的w3wp.exe進程后就已經完全繞過了安全狗"禁止IIS執行程序"限制命令執行,這時可以直接通過執行shell命令進入執行系統命令了。

    0x04 注意事項

    為什么我不在繞過安全狗命令執行后直接在命令行下進行提權?因為目標主機還存在360,大概率還會攔截我們執行提權EXP和木馬上線等行為,即使是免殺的也會被攔,實戰中自己去測試一下

    shelliis
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    微軟:IIS 擴展正越來越多地用作 Exchange 后門
    2022-07-27 16:50:01
    與Web Shell相比,利用IIS 擴展能讓后門更加隱蔽,通常很難檢測到其安裝的確切位置,并且使用與合法模塊相同的結構,為攻擊者提供了近乎完美的持久性機制。隨后,惡意 IIS 模塊允許攻擊者從系統內存中獲取憑證,從受害者的網絡和受感染設備收集信息,并提供更多有效負載。
    惡意 IIS 擴展悄悄地向服務器打開持久性后門
    2022-07-26 00:00:00
    攻擊者越來越多地將 Internet 信息服務 (IIS) 擴展用作服務器的隱蔽后門,這些后門隱藏在目標環境的深處,并為攻擊者提供了持久的持久性機制。雖然之前已經發表了關于特定事件和變體的研究,但對于攻擊者如何利用 IIS 平臺作為后門通常知之甚少。
    惡意IIS擴展在網絡罪犯中越來越流行,以實現持久訪問
    2022-08-01 17:40:57
    威脅參與者越來越多地濫用互聯網信息服務(IIS)對后門服務器的擴展,作為建立“持久性機制”的手段。這是根據微軟365 Defender研究團隊發出的新警告,該團隊表示“IIS后門也更難檢測,因為它們大多與目標應用程序使用的合法模塊位于同一目錄中,并且遵循與干凈模塊相同的代碼結構。”
    惡意 IIS 擴展在網絡犯罪分子中越來越流行以實現持久訪問
    2022-07-27 16:51:30
    采用這種方法的攻擊鏈首先將托管應用程序中的一個關鍵漏洞武器化以進行初始訪問,使用此立足點將腳本 Web shell 作為第一階段的有效負載
    攻擊者越來越多地濫用 IIS 擴展來建立隱蔽的后門
    2022-07-27 00:00:00
    微軟警告威脅行為者越來越多地濫用 Internet 信息服務 (IIS) 擴展來在服務器中建立隱蔽的后門并在目標網絡中保持持久性。 IIS 后門也很難檢測,因為它們遵循與合法且無害的模塊相同的代碼結構。
    MOVEit傳輸軟件被利用,投放竊取文件的SQL shell
    2023-07-06 09:27:51
    SentinelOne發現MOVEit文件傳輸服務器應用程序中的CVE-2023-34362漏洞遭到了野外(ITW)攻擊。
    實戰|記一次iis+aspx環境下利用http參數污染繞過waf
    2022-07-22 08:41:33
    Server: Microsoft-IIS/10.0 X-AspNet-Version: 4.0. waf:某不知名waf
    記一次IIS-Raid應急響應&溯源
    2022-06-22 08:50:05
    聲明:該公眾號大部分文章來自作者日常學習筆記,也有部分文章是經過作者授權和其他公眾號白名單轉載,未經授權,嚴
    sqlmap --os-shell反制小思路
    2021-12-14 16:55:46
    之前有看到goby反制和松鼠A師傅蟻劍反制的文章,再想到之前寫過sqlmap的shell免殺,覺得思路其實差不多,就寫一篇sqlmap的反制吧。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类