文章总结： 本文记录了攻防演练中通过弱口令进入后台、利用无限制文件上传漏洞上传JSP木马，成功连接哥斯拉并上线CobaltStrike，最终通过Getsystem插件提权至System权限的全过程。关键发现包括绕过文件上传限制、定位隐藏目录技巧及UAC关闭条件下的提权方法，建议加强口令策略、严格限制上传文件类型并启用杀软防护。 综合评分： 80 文章分类： 渗透测试,WEB安全,实战经验,红队,内网渗透

实战-攻防演练中的文件上传Getshell到System系统权限的全面掌控

原创

挽风 挽风

挽风安全

2024年9月18日 22:22 四川

在小说阅读器读本章

去阅读

• 前言

恍惚间发现上一次发文章已经是在两个月之前了，最近忙于校内的事情已经把发文章这件事搁置了好久，但是又迫于手痒，想写一篇文章回顾一下之前的漏洞发现过程，于是决定在这个月圆之夜敲下这篇文章，同时也祝师傅们中秋节快乐(十五的月亮十六圆~不算晚到的祝福哈哈哈哈~)

#

• 正文

某天收到了师兄的消息，说是要对一个网站进行测试，最好能拿下靶标。那么话不多说，直接开干！

拿到靶标信息后打开看一下：

开局就是一个登录框！

幸运的是通过一番尝试得到弱口令成功进入后台

登录进入直接查看后台的功能点-存在资源列表可上传文件

看到温馨提示说明可能存在文件限制-这里就先进行上传一个文件试一下看看是否存在限制：然后再去分析是前端还是后端的限制，再进行绕过

一上传给我虎躯一震-这限制你保真吗？

一个jsp文件直接给干上去了。

这里我就使用哥斯拉先生成一个马子了

生成JSP马子后直接上传-这里就不在放图了，反正是直接上传无限制的。

先访问看看文件上传到服务器没有，访问之后心一凉

不会是存在杀软什么的直接给木马干没了吧。凉凉了。

• 柳暗花明又一村

夜里思来想去都睡不着，到嘴的肉跑了可不行啊！

于是我大半夜又重新打开电脑，打开数据包，重新查看返回包内的数据，既然返回的是404，会不会是我没有上传上去？返回包是正常的，那么是不是我目录没有找对的原因？

怀着这个问题，我重新观察数据包，发现了一行返回内容确实有问题。(原谅厚码)

突然发现这里还嵌套了一层目录在网站下，之前没有仔细看，只注意到了返回的JSP文件的目录，大意了~

成功找到文件地址那么访问看一下-确实没有问题了

使用哥斯拉连接一下

连接成功进入查看是否存在杀软：

tasklist /svc

在在线网站上查询一下是否存在杀软：

管理员没上杀软-是我多虑了。

查看一下当前用户权限：

whoami

windows下的administrator权限，权限还行，不是www权限

上线Cobalt Strike：

生成一个exe后门联动哥斯拉上传并且执行，这里是基础操作就不演示了。

执行后门文件后Cobalt Strike发现上线主机：

• 提权

先查看一下系统的补丁：

138个修补程序，看来补丁还是不少的。

这里本来想用系统特性来进行提权的，但是想起来有插件，那么就试试Getsystem这个插件看下是否能成功提权

但是一般情况下这个提权成功率不高，有UAC防护的话可能就是无法提权了。但可能也是这台服务器没有开启UAC防护。这里直接提权成功了。

whoami

直接获取了system系统最高权限。

• 域渗透

经过命令调用，发现不存在域环境，所以这个点也就到这里结束了~感谢观看。

• 免责声明

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助。

本人所有文章均为技术分享，提交的漏洞均已修复，请勿用于其他用途，否则后果自负。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：挽风安全 挽风 挽风《实战-攻防演练中的文件上传Getshell到System系统权限的全面掌控》