Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >红队第5篇:MS12-020蓝屏漏洞在实战中的巧用

红队第5篇:MS12-020蓝屏漏洞在实战中的巧用

作者头像
ABC_123
发布于 2022-07-01 07:22:58
发布于 2022-07-01 07:22:58
1.5K0
举报
文章被收录于专栏:网络安全abc123网络安全abc123

Part1 前言

大家好,上期分享了一篇Shiro Oracle Padding反序列化漏洞无key的实战文章,这期讲一个MS12-020蓝屏漏洞的真实利用过程。这个案例源于2013年我在读研期间,印象是比较深的。在学校期间,我偶尔会帮网络部那边处理一些网站故障,还帮忙修补过安全漏洞。在那个年代,大学网站的漏洞是非常多的,基本上没有什么WAF设备防护。期间有一个大学网站大概是长时间没有人用,崩溃了,访问一直是卡死状态,服务器密码学校那边也不记得了。于是我就来了一顿操作,帮忙恢复了一下,中间也踩了不少坑。首先肯定是要想办法拿到服务器权限,然后帮学校把密码读出来,下面凭着记忆,把过程写出来。

Part2 研究过程

  • Web应用层面

首先对这个特殊任务进行分析,首先是Web应用层面上,可以找各种Web漏洞拿权限,比如SQL注入漏洞、上传漏洞、列目录漏洞、XSS盲打后台、找CMS公开或未公开的漏洞、框架漏洞等。但是本次案例中Web应用崩溃了,访问不了,所以这个思路不适用。

Web应用没法搞,接下来重点看中间件上有没有可突破的点。从搜索引擎网页快照上看,大致判断中间件是IIS6.0。对于IIS中间件,可利用的漏洞有IIS PUT文件上传、IIS5.0远程代码执行、HTTP.sys远程代码执行漏洞(MS15-034)、IIS6.0远程溢出漏洞(CVE-2017-7269)等。在2013年,那时候IIS6.0中间件还没有爆出远程溢出漏洞(CVE-2017-7269),MS15-034这个漏洞没有能拿权限的exp,IIS中间件也没有开启PUT上传功能,所以是没办法直接PUT上传写shell。中间件这条路基本上也走不通。

( 下面放一个老工具的图,怀旧一下,zwell和桂林老兵写的,在10几年前检测IIS漏洞很好用,zwell就是现在goby和fafo搜索引擎的作者)

  • 服务器IP层面

中间件IIS也没有漏洞可利用,那么只能把精力放在服务器层面上了。接下来nmap全端口扫一下服务器IP,看看开放了哪些端口。结果开放了135、139、445、80、3389端口(我处于学校内网中,所以445端口是开着的),操作系统识别为Win2003。

接下来分析一下这几个端口的服务有哪些可利用的漏洞:

135端口:可爆破Administrator的密码,135端口早年爆出过远程代码执行漏洞,但是貌似是02年还是03年左右的漏洞了,太老了,没法利用。我记得那时候很多人流行用135漏洞批量扫IP。

139端口、445端口:这两个端口都可爆破Administrator的密码,这里有些读者可能会想到MS08-067,但是没那么简单,因为当时的各种exp我都试过了,打不成功Win2003中文版系统。

( 放一个老工具的图,那个年代爆破密码这个工具特别好用,现在这个工具不行了)。

我试了BackTrack(BackTrack是Kali Linux的前身,那时候名字是BT4还是BT5的,记不清了)里的Metasploit打Win2003的中文系统,根本打不成功。我用Metasploit打Windows2003中文系统就从来没成功过,打Windows XP系统可以打成功。后期看雪论坛有人放出了MS08-067的适用于中文系统exp,还有很详细的分析文章,但那是好多年后的事情了,那个exp我后来也测试过,能打成功,但是也不太稳定。当时还没有NSA的方程式工具包泄露,否则很轻易就用MS17-010打下来了。

后来我又下载了国内大牛改的MS08-067的exp,对于Win2003系统同样也打不成功。

( 放个那时候工具的图,14年前的老工具了,现在可以用方程式工具包替代 )

接下来对445端口爆破账号密码,445端口爆破密码要比135、139、3389速度快很多,在内网环境中,有时候一秒就可以破几百次,挂了一个超大字典,结果没跑出密码。

组后只剩下3389端口了,3389服务可以爆破密码,但是速度是比445要慢太多了。况且刚才445的SMB服务,也没爆出密码,所以3389爆破密码是多余的。

  • MS12-020蓝屏漏洞

这样貌似就没办法了,等到晚上去食堂吃饭,在回来的路上灵光一闪,来思路了!3389的RDP服务不是曾经爆出一个漏洞MS12-020吗?那么干脆用这个漏洞把服务器打蓝屏,重启一下服务器,网站不就恢复正常了吗?

但是为了谨慎起见,我想到了以下几个情况:

1、MS12-020蓝屏后,Win2003会不会重启?可别一直卡在那里就不动了。

2、重启后IIS服务器是不是能自启动,别重启后,IIS6.0服务起不来了。

为了确保万无一失,还是搭建虚拟机环境测试一下吧,我本地搭建了一个虚拟机环境,使用Metasploit的MS12-020漏洞攻击后,蓝屏后几十秒,服务器就重启了,IIS6.0默认是自启动的,也可以顺利起来。没有问题,蓝屏这个思路可以在实战中应用。

于是开始实战了,结果意外出现了,不知道为什么,Metasploit的MS12-020的exp怎么打都不蓝屏,打了7、8遍没打蓝屏。

接下来怎么办,我在想,学校的这种系统很少有打补丁的情况,在当时,大学网站是不太关心网络安全问题的。想来想去换个exp再试试吧,于是我从网上下载了另一个利用程序,用nc发一个包过去(当时nc很流行,测试上传漏洞都是用nc来测试的),结果服务器立马就蓝屏了。蓝屏后,服务器自动重启,部署在IIS上的网站也恢复正常了。

( 放一个其它工具的图吧,我清楚地记得当时是用nc载入一个poc文本文件发包利用成功的,但是工具找不到了,没法贴图了 )

蓝屏后是这个样子,过几十秒系统会自动重启,一切自启动的服务恢复正常。

网站恢复正常后,后续通过Web应用的后台上传漏洞打进去恢复密码的,都是常规思路,这里就不多讲了。

Part3 总结

1. 虚拟机环境与实战环境是不一样的,一个漏洞准备多个EXP看来很有必要。

2. 蓝屏漏洞有时候也可以派上用场,具体情况具体分析。在日常红队项目中,大家尽量提前跟客户报备一下,因为现在一个服务器上放的业务很多,蓝屏重启可能造成不可挽回的损失,这里只是提供一个思路

3. Tomcat等中间件在Windows下尽量别用这个方法了,因为很多都是批处理脚本启动的,重启后,就起不来了。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-04-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 希潭实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
IIS - 远程代码执行漏洞
开启WebDAV服务的IIS 6.0被爆存在缓存区溢出漏洞导致远程代码执行,目前针对Windows Server 2003 R2可以稳定利用,该漏洞最早在2016年7,8月份开始在野外被利用。
渗透攻击红队
2019/11/20
2.5K0
IIS - 远程代码执行漏洞
操作系统漏洞验证及加固
漏洞利用,(service postgresql start启动msf数据库 )通过msfconsole命令启动matesploit漏洞渗透平台。通过search ms08_067模块进行利用。
菜菜有点菜
2022/03/16
3.2K0
操作系统漏洞验证及加固
提权(2) windows权限分析
00x1 windows常见的用户 System 本地机器上拥有最高权限的用户 Administrator 基本是本地机器上拥有最高权限的用户了。 很多朋友一直不明白administrator和System的区别。 system是系统的权限,至少一些注册表的值administrator都读不了,而拥有system权限却可以做到。比如:Windows系统的账号信息,是存放在HKEY_LOCAL_MACHINE\\SAM里的,但是直接打开注册表想去修改却并不能打开它,哪怕你是管理员权限都不行。 因为为了
lonelyvaf
2018/06/07
2.1K0
【权限提升】windows平台-提权项目&MSF&CS&溢出漏洞
Windows系统内置了许多本地用户组,这些用户组本身都已经被赋予一些权限(permissions),它们具有管理本地计算机或访问本地资源的权限。只要用户账户加入到这些本地组内,这回用户账户也将具备该组所拥有的权限。
没事就要多学习
2024/07/18
5140
【权限提升】windows平台-提权项目&MSF&CS&溢出漏洞
方程式最新漏洞工具推送
Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时
用户1631416
2018/04/12
9730
方程式最新漏洞工具推送
WinXP的MS08-067漏洞利用复现和解决方案
本期文章由华章IT赞助,未经允许,禁止转发,本篇笔记内容来源于书籍《kali Linux 高级渗透测试》,如有需要,可以购买阅读。
天钧
2020/08/24
2.6K0
WinXP的MS08-067漏洞利用复现和解决方案
如何快速有效的进行大规模常规端口渗透
开始正式的说明之前,我们不妨先来简单了解下 telnet,这也是到目前为止,个人认为最靠谱的 tcp 端口扫描工具,没有之一。
iMike
2019/07/17
3.3K0
如何快速有效的进行大规模常规端口渗透
红队第7篇:IIS短文件名猜解在拿权限中的巧用,付脚本下载
为了能在红队项目中发现更多的打点漏洞,我曾经花了不少精力,把那些大家觉得不重要的中低危漏洞拿来研究一下,发现有几个漏洞还是很有利用价值的,比如说,“IIS短文件名猜解漏洞”。这个漏洞有以下这么几个特点:1、危害等级是中低风险。2、在当前网站应用中还广泛存在。3、微软官网不太认可这个漏洞,不出补丁。4、很多客户也选择不修复。5、漏洞利用起来极其困难,需要很大的耐心和毅力。但是我借助此漏洞间接拿权限成功了很多次,还是有很多技巧在里面的,下面分享一下详细过程。
ABC_123
2022/07/01
1.2K1
红队第7篇:IIS短文件名猜解在拿权限中的巧用,付脚本下载
ATT&CK实战系统-红队实战(一)
很久之前放到收藏夹里的红日靶机,之前总想着汇总一下打一打,但是硬盘没有太大空间就没有去下载搭建(其实就是懒),最近写毕设的过程中无聊换换脑子来打一打。
用户2700375
2023/01/30
8530
ATT&CK实战系统-红队实战(一)
利用WinPE在公有云≥2G内存的Win2008R2机器上安装2003系统
在≥2G内存的2008/2012/2016的公共镜像系统上安装2003,请确保系统盘没有业务数据
Windows技术交流
2019/12/31
5K24
谈谈渗透测试中的信息搜集
最近找了一份安全实习,每天对着目标站点进行渗透测试。渗透测试的第一步是信息搜集,那么你的信息搜集完整性决定了你渗透测试的结果,”知己知彼,百战不殆”,在此,我分享下我信息搜集的一些经验。
FB客服
2018/08/21
2K0
谈谈渗透测试中的信息搜集
HW弹药库之红队作战手册
上个月5月9号发了两个HW红方弹药库的,今天再来发一个红队作战人员手册,我大概看了看手册里面的exp零组文档包含了很多,
天钧
2020/06/19
8.1K0
内网漏洞探测扫描 - 信息搜集篇 - 渗透红队笔记
当我们拿到了一台网络边界的时候,我们发现内网里还有很多台设备,比如邮件服务器,数据库服务器等等,我们可以通过网络边界做跳板对内网进行深层次的漏洞扫描。
渗透攻击红队
2020/11/25
4.7K0
内网漏洞探测扫描 - 信息搜集篇 - 渗透红队笔记
信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
Apache、Nginx(反向代理服务器)、IIS、lighttpd等 Web服务器主要用于提供静态内容,如HTML、CSS和JavaScript等,以及处理对这些内容的HTTP请求。Web服务器通常使用HTTP协议来与客户端通信,以便在浏览器中呈现网页。一些常见的Web服务器软件包括Apache、Nginx和Microsoft IIS等。
没事就要多学习
2024/07/18
3120
信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
记一次艰难渗透总结(详细记录)
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 服务器:win2003 中间件环境:iis6.0,sql server 2000 网站编写:asp 服务器ip:192.168.1.xx 开放端口:80 0x02 所用方式 Sql注入 IIS6.0 解析漏洞 一句话图片码 Sql server 2000 sa密码猜解 xp_
潇湘信安
2021/03/10
8880
Kali Linux 网络扫描秘籍 第五章 漏洞扫描
尽管可以通过查看服务指纹的结果,以及研究所识别的版本的相关漏洞来识别许多潜在漏洞,但这通常需要非常大量时间。 存在更多的精简备选方案,它们通常可以为你完成大部分这项工作。 这些备选方案包括使用自动化脚本和程序,可以通过扫描远程系统来识别漏洞。 未验证的漏洞扫描程序的原理是,向服务发送一系列不同的探针,来尝试获取表明漏洞存在的响应。 或者,经验证的漏洞扫描器会使用提供所安装的应用,运行的服务,文件系统和注册表内容信息的凭证,来直接查询远程系统。
ApacheCN_飞龙
2022/12/01
5.8K0
Kali Linux 网络扫描秘籍 第五章 漏洞扫描
混在运维部的安全员说“端口与口令安全”
1. 前言 先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安全。 刚到公司时首先是了解一些企业规则和规则制定者,当然了我的工作主要是安全。初来乍到,先了解下公司的IT资产,收集完IT资产后,做一个IP资产开放端口的梳理,端口信息的收集这是一个很重要的过程,因为渗透实战中对端口的渗透是常用手段。 端口收集过程中关注几个问题: 1. 常见应用的默认端口 2. 端口的banner信息 3. 端口上运行的服务
FB客服
2018/03/26
1.9K0
混在运维部的安全员说“端口与口令安全”
内网域渗透靶场学习一
这样配置的话就网络环境就会和topo图表示的一致,win7是边缘主机,连接着内网同时还有对外的公网ip搭建着web服务,所以多添加一张网卡来划分。
yulate
2023/05/02
1.1K0
内网域渗透靶场学习一
渗透测试思路整理
有些时候渗透测试搞着搞着就陷入了无解状态,不知道再从哪儿下手了 故对渗透测试思路做个整理,后续有新的见解持续更新
中龙技术
2022/09/29
2K0
渗透测试思路整理
CVE-2019-0708漏洞检测利用
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。
Gamma实验室
2020/12/23
1.5K0
CVE-2019-0708漏洞检测利用
相关推荐
IIS - 远程代码执行漏洞
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档