VHAdmin虚拟主机提权实战案例1

### VHAdmin虚拟主机提权实战案例1：详细分析与步骤 #### 一、概述 本文档详细介绍了一次针对VHAdmin虚拟主机环境下的提权实战案例。案例中，攻击者利用了一个ASP Webshell作为切入点，并逐步尝试提升权限，最终实现了对目标系统的控制。通过这一实战案例，我们可以了解到在特定环境下如何利用现有资源和技术手段实现权限提升。 #### 二、环境与条件 - **目标系统:** Windows Server 2012 R2 (IIS 8.5) - **支持脚本:** ASP (部分组件被卸载), ASPX - **当前权限:** IIS APPPOOL\AP_v2.0Classic3 - **开放端口:** 21, 80, 135, 445, 3389 - **虚拟主机:** VHAdmin (版本: 2013.7.26.15, 构建日期: 2011/10/20) - **服务名:** VHAdminService - **进程名:** VHAdminService.exe, VHAdminTools.exe, VHConfigManager.exe - **网站绝对路径:** D:\webhosting\clients\b85f066a-657c-43d1-a219-b6b4cee0c415\wwwroot\ #### 三、提权过程 ##### 3.1 前言 攻击者接收到一个ASP Webshell后，首先尝试使用Webshell执行系统命令。然而，由于Wscript.Shell和Shell.Application组件均被卸载，直接执行命令的方法行不通。因此，攻击者决定采用其他策略进行进一步的探索。 ##### 3.2 信息搜集 - **基本信息:** 目标系统为Windows Server 2012 R2，运行IIS 8.5。 - **脚本支持情况:** ASP脚本中的关键组件被卸载，而ASPX脚本则可以使用。 - **权限范围:** 当前权限为IIS APPPOOL\AP_v2.0Classic3，意味着攻击者可以通过Webshell访问和操作一部分系统资源。 ##### 3.3 实战提权过程 **3.3.1 使用ASPX脚本尝试执行命令** - **问题:** 初始尝试使用ASPX脚本执行命令时遇到了“拒绝访问”的错误。 - **解决方案:** 攻击者通过探测目标机器中可读/写/替换的目录和文件，找到了两个合适的目录:C:\Windows\temp\ 和 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\。随后上传了一个cmd.exe文件，并成功地通过ASP或ASPX脚本执行命令。 **3.3.2 绕过组件限制执行命令** - **发现:** 攻击者还发现C:\Windows\WinSxS\amd64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.3.960(1)目录下的WmiPrvSE.exe文件可以被替换。 - **利用:** 利用这个发现，攻击者成功绕过了之前的组件限制，通过ASPX脚本执行了系统命令。 **3.3.3 测试提权工具** - **尝试1:** 将提权工具放置在可执行目录中，但未成功提升至System权限。 - **尝试2:** 通过Meterpreter会话获取了一定级别的权限，但仍无法使用某些关键命令。 **3.3.4 使用web_delivery模块获取会话** - **策略:** 使用Metasploit框架中的web_delivery模块生成Powershell载荷，并通过ASPX脚本执行该载荷。 - **步骤:** 1. 设置`target 2`。 2. 设置`payload windows/x64/meterpreter/reverse_tcp`。 3. 设置`lhost`和`lport`参数。 4. 设置`URIPATH /`。 5. 执行`exploit`命令。 - **结果:** 成功获取目标机器的Meterpreter会话，尽管存在一定的限制，但相比之前的方法已经有了显著的进步。 #### 四、总结 本次实战案例展示了在特定的VHAdmin虚拟主机环境中，如何逐步克服技术障碍，实现从Webshell到Meterpreter会话的权限提升过程。案例中的每一步都充满了挑战，但从中学到的经验和技术方法对于类似环境下的渗透测试工作具有很高的参考价值。通过深入分析案例中的每一个环节，我们可以更好地理解在实际操作中可能遇到的问题及其解决方案，从而提高在复杂环境下的攻防能力。