1.循环加组复现

for /l %%i in (1,1,1000) do @net user admin admin /add&@ net localgroup administrators admin /add

这曾经是安全狗最早爆出的安全狗漏洞

但是安全狗很快的在之后的版本修复了

上月某非盈利安全研究小组研究人员发现其实安全狗只是阻截了系统的net/net1执行  同时把你net放到别的目录就算有执行权限你也无法执行  因为他是一棒子打死  但是可以突破执行net1   (没图说个jb)

正常情况下执行net是被禁止的

尝试在别的目录也是被禁止的

峰回路转的前提下我们想到了net1

嗯  到这net已经突破执行了   那要怎么提权呢?

看图说话

这里大家肯定会说安全狗不是修复了么···

继续往下看

这里我加的账户是 admin

和之前一样  除了间隔2秒删除账户之外  其他一点没变

至此  突破安全狗账户守护提权成功

———————————————————————————————————————————————-

2.杀狗提权(鸡肋)

其实这也是一个新思路   安全狗的一切都是以进程的方式展现运行的  之前有很多的k狗神器   他的目的就是终止或者杀死安全狗的守护进程  让安全狗保护失效  但是在后期安全狗把此问题修复了

但是什么都是可以被突破的   上月同样的发现了安全狗的这个问题

安全狗守护进程没有采用特别的保护  只要有一定的权限  就可以实现拒绝服务(没图我说个jb啊)

安全狗的守护进程路径在C:\Program Files\SafeDog\SafedogServer\SafeDogGuardCenter\

我们只需要让他这个下面的SafeDogGuardCenter.exe加载不起来就行了  具体怎么做呢1条命令搞定:

cacls “C:\Program Files\SafeDog\SafedogServer\SafeDogGuardCenter\SafeDogGuardCenter.exe” /t /e /c /d system

这条命令的意思是拒绝System读取+运行这个程序SafeDogGuardCenter.exe

System都没权限读取了  他怎么运行呢 (没图我tmd说个jb啊)

我们继续

至此  杀狗结束  想干吗就干嘛去吧

(ps:此方法鸡肋的地方在于需要重启对方的服务器)

后记:都已经是System权限了  还提权做什么  脑子进水了么

———————————————————————————————————————————————-

3.NET提权细节以及防御措施

尊重原文作者  不剽窃他人创意   我们在这里只谈如何修复这类漏洞

http://www.wooyun.org/bugs/wooyun-2010-0104148

这个是发现.NET提权漏洞的原文作者

利用条件有三条:

1.需要支持aspx并且高于Microsoft .NET Framework 1.14版本

2.安全模式除外(现在还没有能突破.net安全模式的方法)

3.必须要网站根目录拥有全部可写权限(更改)权限

没图我说个jb  直接上图

首先让我们的网站运行于独立权限账户test下面

画红圈的地方  就是NET提权漏洞的玄机  我们继续往下分析

嗯  可以看到菜刀已经备好了

执行这个作者的EXP

我们在他的网站目录放一个cmd.exe

然后去执行   我贴出关键的提权代码

var strPath:String = “D:\\2222222\\333333333\\cmd.exe”, strUser:String = “everyone”;

大概意思就是授予everyone去操作CMD的命令  真实情况是不是这样呢  我们执行一下

嗯  大家是不是感觉到神奇的样子

没错  他的玄机就在于你给了他网站更改权限

我们去掉更改权限之后  继续实验

所以说这个从严格意义来讲  不能算是NET框架的漏洞  只是算是windows中的一个权限问题

安全狗两个中危提权+NET提权的更多相关文章

  1. EOJ Monthly 2018.8 D. Delivery Service-树上差分(边权/边覆盖)(边权转点权)(模板题)

    D. Delivery Service 单测试点时限: 2.5 秒 内存限制: 512 MB EOJ Delivery Service Company handles a massive amount ...

  2. [学习笔记]最小割之最小点权覆盖&&最大点权独立集

    最小点权覆盖 给出一个二分图,每个点有一个非负点权 要求选出一些点构成一个覆盖,问点权最小是多少 建模: S到左部点,容量为点权 右部点到T,容量为点权 左部点到右部点的边,容量inf 求最小割即可. ...

  3. D. Powerful array 离线+莫队算法 给定n个数,m次查询;每次查询[l,r]的权值; 权值计算方法:区间某个数x的个数cnt,那么贡献为cnt*cnt*x; 所有贡献和即为该区间的值;

    D. Powerful array time limit per test seconds memory limit per test megabytes input standard input o ...

  4. BZOJ 3637: Query on a tree VI LCT_维护子树信息_点权转边权_好题

    非常喜欢这道题. 点权转边权,这样每次在切断一个点的所有儿子的时候只断掉一条边即可. Code: #include <cstring> #include <cstdio> #i ...

  5. D. Happy Tree Party CodeForces 593D【树链剖分,树边权转点权】

    Codeforces Round #329 (Div. 2) D. Happy Tree Party time limit per test 3 seconds memory limit per te ...

  6. [提权]MS16-016提权EXP

    MS16-016提权EXP[K8]Tested On Win7 x86Usage: ms16-016_win7.exe "whoami"by K8拉登哥哥 20160216 下载: ...

  7. [提权]sudo提权复现(CVE-2019-14287)

    2019年10月14日, sudo 官方在发布了 CVE-2019-14287 的漏洞预警. 0x00 简介 sudo 是所有 unix操作系统(BSD, MacOS, GNU/Linux) 基本集成 ...

  8. Linux提权-suid提权

    0x1 suid概念 通俗理解为其他用户执行这个程序是可以用该程序所有者/组的权限 0x2 suid提权 简单理解为,一个文件有s标志(权限中包含s),并且对应的是root权限,那么当运行这个程序时就 ...

  9. 如果有两个list<Object>只取出两个中不重复的(还可以优化,这里计数器没做好,暂时使用第三变量)

    import java.util.*; class test2{ public static void main(String[] args){ List<Integer> objList ...

随机推荐

  1. 【linux高级程序设计】(第十四章)TCP高级应用

    文件I/O方式比较 1.阻塞式文件I/O 进程从调用函数开始,直到返回这段时间都处于阻塞状态. 2.非阻塞式文件I/O 如果当前没有数据可操作,将不阻塞当前进程,而是立即返回一个错误信息.需要反复尝试 ...

  2. 使用Sublime Text 3 编写python

    1,下载Sublime Text 3 链接:http://pan.baidu.com/s/1eROBpB0 密码:cqjr 2,安装 注意安装时去掉捆绑的软件安装选项,有两处. 3,安装完成打开软件, ...

  3. .ner core InvalidOperationException: Cannot find compilation library location for package 'xxx' 和 SqlException: 'OFFSET' 附近有语法错误。 在 FETCH 语句中选项 NEXT 的用法无效。问题

    原文地址:传送门 1.InvalidOperationException: Cannot find compilation library location for package 'xxx'问题: ...

  4. Codeforces Beta Round #91 (Div. 2 Only) A. Lucky Division【暴力/判断是不是幸运数字4,7的倍数】

    A. Lucky Division time limit per test 2 seconds memory limit per test 256 megabytes input standard i ...

  5. ZOJ 3940 Modulo Query (2016年浙江省赛E题,区间折叠 + map运用)

    题目链接  2016 ZJCPC Problem E 考虑一个开区间$[0, x)$对$a_{i}$取模的过程. $[0, x)$中小于$a_{i}$的部分不变,大于等于$a_{i}$的部分被切下来变 ...

  6. POJ2337 Catenyms(欧拉通路的求解)

                                                               Catenyms Time Limit: 1000MS   Memory Limi ...

  7. SimpleDateFormat格式

      SimpleDateFormat函数语法:      G 年代标志符   y 年   M 月   d 日   h 时 在上午或下午 (1~12)   H 时 在一天中 (0~23)   m 分   ...

  8. 每天一个linux命令7之telnet

    telnet :和端口通信         telnet   192.168.196.200 20 退出:      ctrl+]  然后在telnet 命令行输入 quit  

  9. LAMP----linux+apache+mysql+php详细安装步骤之一APACHE篇(openldap等)

    LAMP----linux+apache+mysql+php详细安装步骤之一APACHE篇(openldap等) linux详细版本为RHEL5.3 [root@localhost mail]# un ...

  10. Linux性能监控工具收集(转)

    一.基于命令行的性能监控工具 1.dstat - 多类型资源统计工具 该命令整合了vmstat,iostat和ifstat三种命令.同时增加了新的特性和功能可以让你能及时看到各种的资源使用情况,从而能 ...