当前位置：首页 > news >正文

Windows提权之基本流程(二)

news 来源：原创 2025/5/15 11:58:22

首先我们

安装环境

首先在百度网盘上下载好是这样的

通过网盘分享的文件：08serverR2-1.zip

链接: 百度网盘请输入提取码提取码: 7hyh

--来自百度网盘超级会员v3的分享

我们在虚拟机里边打开

点击打开虚拟机

然后选中.vmx结尾的双击打开

然后点击获取所有权

点击继续运行虚拟机

点击我已经复制虚拟机

点击放弃

点击确定

然后点击开启虚拟机

摁下回车快速启动

摁下这个按钮

点击 administrator 输入密码 123456

点击确定

然后我们打开这个目录下的

我们这里有 sb.asp 还有sb.aspx 这个是我们的后门

下边是

提权的流程

能够执行cmd命令->是否打补丁->补丁对应exp->获取服务器权限执行命令的时候 aspx->php和asp

如果管理员删除服务器组件 wscript.shell无法在asp执行cmd命令这个时候可以使用aspx的后门查看是否有权限执行cmd命令

如果是校园网的同学们

我们记得把桥接模式修改为nat模式因为校园网不能进行桥接

然后我们输入

ipconfig 来查询ip 192.168.25.139

然后我们再我们的本机上输入

192.168.25.139

然后我们访问 .asp文件

http://192.168.25.139/sb.asp

输入密码 123456

我们进入

是这个鬼样子因为这个网页在我们现在的这个浏览器版本里边已经好多不兼容了

所以我们在这个目标主机里边自带的低版本的浏览器里进行访问

还是一样的

http://192.168.25.139/sb.asp

输入密码 123456

我们进入在这个浏览器里边已经很正常了

我们点击

发现存在

wscript.shell 命令行执行组件,显示

我们就可以执行cmd命令了

点击

然后我们再点击执行

我么执行

whoami

我们也可以查看详细信息

whoami /all

如果我们不能执行cmd的话

我们可以上传到别处的cmd.exe问文件

然后修改对应的路径即可

然后我们来看看sb.aspx文件

输入

http://192.168.25.139/sb.aspx

然后密码是 admin

我们进入

我们点击

然后再点击

我们还是可以执行cmd的

我们执行 whoami /all

我们发现都i是iss的权限这个权限是最低的

所以我们就要进行提权

然后我们打开在线补丁验证平台

潮影在线免杀平台

我们输入systeminfo

我们复制到输入框里

我们点击获取exp

还有我们发现了

第一个网站这里命令行没有/c

第二个网站这里命令这里有/c

那麽这是镇魔意思呢

就是我们查看源代码发现第一个网站这里后台源码已经帮助你加上了/c

而第二个网站这里后台没有帮你加上/c 所以显示在了前台

也就是说我们输入指令前边都加上了 /c

那摩 /c 是啥意思呢为啥要加这个呢

我们可以看下边这几篇文章

https://jingyan.baidu.com/article/cd4c2979266c30756e6e6091.html

cmd /c和cmd /k-CSDN博客

我这里也给你们解释一下

/c 就是执行字符串指定的命令然后终止

我们输入 cmd systeminfo

然后我们输入

cmd /c systeminfo

然后等待中

首先我们先把systeminfo 的信息文件都导入一个文件里

我们输入

systeminfo > C:\ProgramData\1.txt

然后我们在我们自己本机上的浏览器输入
http://192.168.25.139/sb.aspx#

点击下载

选择保存

下载到我们本机上

然后我们下载我们的

查询补丁工具wesng

GitHub - bitsadmin/wesng: Windows Exploit Suggester - Next Generation

下载好之后我们解压缩

然后我们把1.txt文件放入

然后我们输入cmd

首先这个要是python3版本的

其次我们要查询语法

我们要先更新

我们要输入

python wes.py --update-wes

其次我们

然后我们要查询exp

python wes.py 1.txt

在最后我们发现有207有可能能利用的exp

然后我们来看下一款工具

WindowsVulnScan 查询补丁

下载地址

GitHub - chroblert/WindowsVulnScan

windows-exp-suggester

这款和本工具的原理一样，尝试使用了之后，发现它的CVEKB数据库只更新到2017年的，并且没有给出

CVE是否有公开的EXP信息。

工具的原理是

1. 搜集CVE与KB的对应关系。首先在微软官网上收集CVE与KB对应的关系，然后存储进数据库中

2. 查找特定CVE网上是否有公开的EXP

3. 利用powershell脚本收集主机的一些系统版本与KB信息

4. 利用系统版本与KB信息搜寻主机上具有存在公开EXP的CVE

参数说明

# author: JC0o0l
# GitHub: https://github.com/chroblert/
可选参数:
-h, --help show this help message and exit
-u, --update-cve 更新CVEKB数据
-U, --update-exp 更新CVEEXP数据
-m MODE, --mode MODE 搭配-U使用。更新模式 All:更新所有;Empty:只更新空白的;Error:只更
新之前未成功更新的
-C, --check-EXP 检索具有EXP的CVE
-n PRODUCTNAME, --productName PRODUCTNAME
搭配-C使用。自定义产品名称，如Windows 10
-N PRODUCTVERSION, --productVersion PRODUCTVERSION
搭配-C使用。自定义产品版本，如20H2
-f FILE, --file FILE ps1脚本运行后产生的.json文件

首先我们先下载下来