思路分享 | 从零模拟一次实战记录并成功提权

1、前序

前天下午，风和日丽，我呆呆的坐在电脑前，思考着我存在的意义。这时，大佬突然走进机房，扔给我了一个靶机，让我搞定它。瑟瑟发抖的我，也不敢问什么，扛着靶机来到了一个没人的地方。打算花些时间来研究下。

于是我便花了一天半的时间，将他从一个网站渗透到了服务器并提权（大佬说一般情况下没做过类似靶机的人一个半小时就能搞定）。由于本人萌新，第一次做，也是第一次成功，很开心，于是记录下过程并总结一下学到的经验。

2、环境

靶机：

系统：Windows2008 R2

容器：iis7.5+asp

IP：192.168.111.177

攻击机：

系统：kali

IP：192.168.111.179

3、任务

`拿下服务器权限，并能远程登陆上去`

4、过程

• 信息收集：

拿到靶机，第一件事，就是先收集靶机信息，上神器nmap：

80，135，445，49155四个端口，80端口先放一下，

看到445，立马想到了ms17-010。

再使用nmap，针对这个漏洞探测一下：

很明显，445端口不存在漏洞（最后大佬告诉我，他打了补丁的），那系统漏洞可能就没有了，有80端口那就利用web漏洞了，行吧，收集web信息吧。

• 容器探测：

记一笔：iis7.5+asp（iis7.x存在畸形解析漏洞，等会可以看看是否能利用）

• 目录探测：

发现一个/admin后台，其它的就没什么用了，再记一笔

其它的貌似没有了，那就直接访问页面看看网站结构吧

• 漏洞探测与利用：

首页

并且在页面底部直接就存在后台管理：

点进去看，页面内容：

登进去，用户名，密码直接有，什么意思啊？这么容易？心里嘿嘿嘿~~~，结果只是闹着玩儿的，这玩意密码错误，无果后，还是记下南方数据网站管理系统 10.0吧，等下说不定能用上。

信息收集到此结束

统计一下，有如下信息：

```

端口：80，135，445，49155（不存在系统漏洞）

容器：iis7.5 + asp （iis7.x存在畸形解析漏洞）

cms：南方数据网站管理系统 v10.0

```

大概了解了一下网站结构，首先我想到的是拿后台（后台）注册会员，利用会员登陆，看看有没有什么可以上传的地方，找了一圈发现没有，

便开始尝试查找sql注入，各种链接点，提交单引号，都是提示：

过滤太多，暂且先放弃一下，还是直接去搜cms漏洞吧，nice，

有一个直接爆账户密码的0day漏洞

参考文章：http://www.vfocus.net/art/20110511/8986.html

MD5解密，密码为roottoor，得到用户名和密码，admin：roottoor

登陆后台：

直接找上传，哇~上传点还挺多：

几种上传绕过的方法：

经过以上的上传绕过测试后，无果，

并且iis7.5的畸形解析漏洞也无果，最后查资料发现，

这个畸形解析漏洞只对php适用，他只是php的cgi配置错误导致的，https://blog.51cto.com/zhpfbk/1878421

再记一笔。

我尝试了所有我能想到的上传，均无果，于是我换了下思路，看看能否再添加配置文件信息；

试一试，这不试不知道，一试吓一跳：

在任意一框内添加<%evalrequest("a")%>，保存，

哈哈，网站崩了~，害怕，还好之前拍了快照，恢复继续，

所有这里注意一下！！！，后台配置插入一句话，一定要慎重，慎重，慎重，特别是asp；不然会GG掉，这里有一篇关于后台插一句话的小文章

http://www.voidcn.com/article/p-ouluixwu-pr.html

回头再去试试（/坏笑脸），当时其实还试过闭合插入，也是一样的崩，试过几次，就放弃了（因为是第三次我才开始拍的快照，难受），最后实在没有办法了，我就去google了一下，最后找到了一个方法，上传文件配合备份数据库成功上传shell。

http://www.myhack58.com/Article/html/3/62/2012/35900_2.htm

• 提权：

菜刀连接，发现各种无权限，只能添加文件，和部分读文件，后来又上传了大马尝试提权：

结果依然不行，毕竟我是萌新，对提权这块经验还不足。后来问大佬，他让我尝试反弹shell到meterpreter上试试，继续使用神器：

shell进去，查看权限，果然是iis权限：

命运的使然，我没法直接getsystem，然而偷令牌，我也没有找到管理员运行的进程，漏洞模块也无法利用，啊啊啊啊~我真的没招了；

最后只得找大佬，最后他给了我一个exp,

利用该exp成功提权cve-2018-8639

exp地址：

https://github.com/ze0r/CVE-2018-8639-exp

不知道为什么 ，这个exp不是很稳定，执行命令时，有时会卡顿，这里告诉大家一般人我都不告诉的别人小方法（跟着大佬学的），直接利用菜刀，写bat文件执行，出错就会减少很多（其实我是知道很多人都能想到的）。

然后就是 添加用户，并升为管理员组：

到这里提权就结束了。但是我们的任务是拿到权限，并能够远程连接上去。

这里有个问题我开始就发现了，但是没想那么多，无法ping通主机，到这里我才想起它应该是开了防火墙的

这里根据我们之前收集的信息我们需要做的是

```

1.开启win2008的 3389端口

2.关闭防火墙

```

开启3389端口：

关闭防火墙：

最后通过kali的rdesktop 远程连接到服务器：

总结：

虽然这次的靶机，难度不是很大，很多漏洞都能Google到，也没有特别的知识点，但是在进行漏洞检测的时候，还是比较考验耐心的，而且我认为能把不同的漏洞整合起来学习，也是考验人的。并且在对靶机的整个渗透流程中，会对渗透测试的流程更加的了解和熟悉，从信息收集----漏洞探测----漏洞验证----信息分析----漏洞利用----提权，甚至到后渗透和内网渗透。由于知识水平暂时未达到，也就只能做到提权了