Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >绕过IIS命令执行防护提权

绕过IIS命令执行防护提权

作者头像

潇湘信安

发布于 2022-05-16 13:34:53

发布于 2022-05-16 13:34:53

1.2K0

举报

文章被收录于专栏：潇湘信安潇湘信安

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

前段时间也对这个防护软件的命令执行限制功能做了一些测试，没能成功绕过，详情可见这篇：D盾防火墙防护绕过-[命令执行限制]

0x01 模拟实战测试

测试某防护软件时发现在Webshell执行不了命令，提示：拒绝访问，不是cmd被降权的原因，Admin/System也都执行不了。

经过@Kk师傅分析后得知该防护是通过在w3wp.exe进程中加载web_safe.dll来Hook一些常见API函数，如下图所示。

这里我们将AspxSpy2014大马中的PluginLoader模块给单独提取出来了，可以使用assembly反射加载dll来进行API Unhook执行命令。

如果IIS长时间不用w3wp.exe就会被结束，刚执行的Unhook就会失效，为了方便，我将命令执行也加了进去，UnHook -> Execute。

只要绕过了这个防护软件的命令执行，随便用一个EXP就可以提权了，这里以CVE-2017-0213为例，当然，前提是要存在这个漏洞哦。

注：AspxSpy2014马会被特征查杀，而且开启“上传扩展过滤【白名单】”选项时在PluginLoader模块执行加载的dll时也会被拦截，如下图所示。

这篇文章只是给大家提供一个绕过思路，具体的绕过方式暂不对外公布。

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2022-04-27，如有侵权请联系 cloudcommunity@tencent.com 删除

腾讯云测试服务

腾讯云开发者社区

本文分享自潇湘信安微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

腾讯云测试服务

腾讯云开发者社区

评论

登录后参与评论

暂无评论

记一次绕过安全狗和360提权案例

iis asp 网络安全 shell bash

最近遇到这样一个场景：目标仅支持ASP脚本，而且还存在网站安全狗和360安全卫士，目前存在的两个问题。

潇湘信安

2022/09/22

1.4K0

记一次绕过安全狗和360提权案例

bypass safedog 安全防护小结

asp.net iis 安全腾讯云开发者社区 shell

最近抽空又看了下最新网站安全狗IIS版，测试了以下一些在实战中能用的绕过方式，现在是通过本地和云端网马引擎来进行查杀和拦截。

潇湘信安

2022/09/22

7490

bypass safedog 安全防护小结

D盾防火墙防护绕过-[命令执行限制]

actionscript 网络安全 kernel 腾讯云开发者社区 powershell

D盾防火墙的“命令执行限制”是通过多种方式来进行限制的，【组件限制】是通过禁止调用wscript.shell、shell.application组件来限制执行命令。

潇湘信安

2022/05/16

2.8K0

D盾防火墙防护绕过-[命令执行限制]

绕过WAF和多个防护软件提权案例

shell 网站腾讯云测试服务 linux sql

这篇文章记录的是朋友在某次项目测试中遇到的一个因存在WAF和多个防护软件而无法提权的问题，这次绕防护提权的过程中也是踩了不少的坑，记录分享下。

潇湘信安

2022/09/22

1.7K0

绕过WAF和多个防护软件提权案例

PHP环境绕过360执行马儿上线

命令行工具腾讯云测试服务 iis shell 网站

前几天群里有个老哥私聊我问了个问题，phpStudy搭建的Web环境，在已拿到的Webshell中执行命令时被360拦截了，问我该如何绕过？

潇湘信安

2022/04/01

1.7K0

PHP环境绕过360执行马儿上线

绕过反病毒添加管理员用户小结

api powershell 腾讯云开发者社区

我们在后渗透中时常会遇到这样的环境，即使成功拿到了目标机器的Admin/System权限后也不能添加用户和管理员组，出现这种情况的原因有很多，如：UAC、WAF、反病毒软件或者是net.exe降权和安全组策略中的软件限制、应用程序控制策略等。

潇湘信安

2021/01/22

3.4K0

记一次景安虚拟主机提权案例

这个案例也是那个朋友发我的，写这篇文章只是为了验证《西部数码云主机失败提权案例》文中所提到的提权思路，那个目标最终没能利用135端口执行命令，而这个目标是可以利用135端口执行命令，并且已成功拿到SYSTEM权限，两个目标环境相差无几，所以就不去详细记录整个过程了。

潇湘信安

2021/01/12

1.5K0

MSSQL绕过微软杀毒提权案例

windows sql sql server 数据库爬虫

0x04 其他绕过思路当目标机器存在Windows Defender防病毒软件时，即使已经拿到了Administrator会话后仍然无法执行getsystem、hashdump、list_tokens等命令和一些后渗透模块，除了上边已测试的migrate进程迁移方法外还可以尝试以下三个思路。尽可能的拿到目标机器的SYSTEM以及HASH和明文密码，在内网环境中可能会有其他用途，这里仅为大家扩展几个绕过思路，就不截图了！ (1) 直接添加管理员用户使用shell命令进入cmdshell后直接利用net命令来添加一个管理员用户，然后远程桌面连接进去关闭Windows Defender防病毒软件的实时保护，最后尝试抓取目标机器HASH和明文密码。 net user test xxxasec!@#!23 /add net localgroup administrators test /add (2) 修改SAM注册表权限使用regini命令修改SAM注册表权限，然后利用post/windows/gather/hashdump模块抓取目标机器HASH，最后再利用135/445等支持哈希传递的工具来执行命令。 echo HKLM\SAM\SAM [1 17]>C:\ProgramData\sam.ini regini C:\ProgramData\sam.ini (3) 关闭杀毒软件实时保护使用Windows Defender防病毒软件中自带的MpCmdRun.exe程序来关闭它的实时保护，然后再利用hashdump命令或模块抓取目标机器HASH。MSF中的rollback_defender_signatures模块也可以用来关闭实时保护，但是需要SYSTEM权限才能执行。 C:\PROGRA~1\WINDOW~1>MpCmdRun.exe -RemoveDefinitions -all MpCmdRun.exe -RemoveDefinitions -all Service Version: 4.18.1812.3 Engine Version: 1.1.17600.5 AntiSpyware Signature Version: 1.327.2026.0 AntiVirus Signature Version: 1.327.2026.0 NRI Engine Version: 1.1.17600.5 NRI Signature Version: 1.327.2026.0 Starting engine and signature rollback to none... Done! 0x05 注意事项记得前几年在测试Windows Defender时好像几乎所有获取MSF会话的方式都是会被拦截的，但是不知道为什么在这个案例中就没有拦截web_delivery模块中的Powershell，hta_server模块是会被拦截的，MSF或Windows Defender版本原因吗？这里我也没有再去深究这个问题，所以大家在实战测试中还是得自己多去尝试，说不定哪种方法就成功了呢！！！只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频，“1120”领取安全参考等安全杂志PDF电子版，“1208”领取一份常用高效爆破字典，还在等什么？

潇湘信安

2020/12/21

1.6K0

利用WPS-Office绕过UAC提权

windows server windows 腾讯云开发者社区 http

wpscloudsvr服务用于提供WPSOffice云服务，其中包括：云文档，文件安全性，VIP服务等，以实现完整和安全的用户体验，及时更新和错误修复，停止此服务将禁用云服务和及时错误修复等。

潇湘信安

2021/01/22

1.8K0

利用WPS-Office绕过UAC提权

记一次提权添加管理员实战案例

腾讯云测试服务 android tcp/ip shell windows

这个案例记录的是笔者2014年测试的一台服务器，闲着无聊之时在“中国菜刀”上找了一个以前的意大利站点做测试，这是很久以前的站了，都忘了有没有提权过了，试了下刚放出来的CVE-2014-4113都失败了，执行后无回显。

潇湘信安

2021/01/12

8030

2023！最新绕过AMSI的一个方法！！

公众号函数进程内存数据

Microsoft 的“ Windows 反恶意软件扫描接口 (AMSI) 是一种多功能接口标准，允许您的应用程序和服务与计算机上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件防护。”

潇湘信安

2023/09/12

5960

2023！最新绕过AMSI的一个方法！！

记一次简单上传到提权实战案例

腾讯云测试服务网络安全安全 asp 企业

Date/time：2013年，这次的目标就是这台服务器权限，接下来这篇文章会写出在此次渗透中遇到的一些阻碍分析及最终拿到服务器权限的过程。其实这次的渗透应该来说还是挺简单的，都是常规的渗透思路，这次的渗透再次证明了细心、耐心和经验的重要性！

潇湘信安

2022/09/22

1.2K0

Windows提权EXP多种执行方式

shell powershell linux android 腾讯云测试服务

Windows常见提权方式无非就那几种：内核漏洞、数据库、第三方、服务和配置不当等，但用的最多还是内核漏洞。以前看到大多数人在利用提权EXP进行提权时只会用exp.exe whoami，不行就放弃了，其实每个提权EXP的执行方式是取决于开发作者是如何编写的，这里分享几个我在测试中发现的执行方式。

潇湘信安

2022/05/16

2.2K0

Windows提权EXP多种执行方式

绕过360/某绒添加管理用户CS插件

cs 插件工具公众号管理

这个插件是通过MS-SAMR协议将用户添加到管理员组，所以暂时可以用来绕过部分防护添加管理员用户。

潇湘信安

2023/09/12

5950

绕过360/某绒添加管理用户CS插件

组策略禁用命令提示符的绕过方式

图像处理网络安全 apache iis php

前几天有个哥们私聊我说遇到个命令执行问题，Web环境为phpStudy搭建，在中国菜刀虚拟终端里不能执行命令，提示：命令提示符已被系统管理员停用。问有没有办法绕？答案肯定是有的，接下来我们就一起来看下如何绕过这个组策略命令执行限制。

潇湘信安

2021/07/01

1.5K0

云主机RDP/SSH异地登陆提醒绕过

tcp/ip ssh 腾讯云开发者社区云服务器

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

潇湘信安

2021/08/20

3.4K0

yyds！一款数据库自动化提权工具

数据库自动化工具连接漏洞

一款用Go语言编写的数据库自动化提权工具，支持Mysql、MSSQL、Postgresql、Oracle、Redis数据库提权、命令执行、爆破以及ssh连接等等功能。

潇湘信安

2023/09/12

6440

yyds！一款数据库自动化提权工具

Webshell不能执行命令常见原因

windows shell 网站腾讯云开发者社区 linux

为什么整理这篇文章？因为个人感觉在后渗透中是否能够执行命令是至关重要的一步，所以想着将以前在实战中搜集整理的不能执行命令的常见原因和一些解决方法分享给大家。

潇湘信安

2021/11/04

3.4K0

记一次匈牙利服务器提权案例

网站 shell 腾讯云测试服务腾讯云开发者社区 http

这个案例记录的是笔者2013年测试的一台服务器，大半夜醒来不知道干什么了，无聊的在“全球被黑站点统计系统”找到了一个匈牙利国家的小站来练手，直接利用BurpSutite成功突破Fckeditor2.5 PHP上传拿到Webshell权限，以前写过几篇Fckeditor-Getshell文章，这里就不再详细写了。

潇湘信安

2021/01/12

5250

记一次绕过安全狗命令执行上线

shell 网站 iis 安全 asp.net

朋友@Sin在一次渗透测试项目中遇到的一个问题，在拿到了Webshell权限后发现不能执行命令，最后虽然成功绕过了安全狗的命令执行限制，但上线时还是遇到些问题。

潇湘信安

2022/09/14

1.3K0

相关推荐

记一次绕过安全狗和360提权案例

更多 >

加入讨论

的问答专区 >

1合伙人擅长4个领域

相关课程

一站式学习中心 >

轻量应用构建训练营

轻量应用服务器

云开发微搭低代码平台-一人构建企业级应用实战训练营

腾讯云微搭低代码

腾讯云WeData大数据开发与治理训练营

数据开发治理平台 WeData