组策略限制webshell执行溢出
在11年就经常遇到在aspxshell下执行命令,无论啥目录都是提示个“由于一个软件限制策略的阻止,Windows 无法打开此程序。要获取更多信息,请打开事件查看器或与系统管理员联系。
”当时还在土司发了个贴求过程,传送门https://www.t00ls.com/thread-18755-1-1.html
最近因一基友安全需要,一国外站点目录很混杂,手动设置权限估计会设置到手抽筋,于是就想退一步,让人家拿shell,跨站,防止提权算了。于是乎想借用到以上那个方法,这究竟怎么造成的呢,看提示肯定是组策略了,假如是麦咖啡或者ntfs应该会提示拒绝访问,于是和基友讨论一番之后开始虚拟机测试中。
开始误以为直接如下操作“gpedit.msc-计算机配置-windows设置-安全设置-软件限制策略这里启用,再添加几个受限制的目录就ok,结果测试还是如下图,在系统中执行会拒绝,但是webshell中不会拒绝,照样执行。
又想绕回去找几个类似的站去嗅探,溢出啥的,结果还是不行,按照基友的话就是我人品太……,结果换了好几个人测试都这样,最后舅舅了一周,到今天,总算测试出了方法。
本地虚拟机环境如下:
windows2003+iis6+net2.0,各盘设置磁盘权限,网站独立匿名用户控制(模拟虚拟主机),为测试需要就先对C:\wmpub设置为everyone权限,用于溢出。现在测试未开启策略的情况如下:
系统自带cmd无法执行,C:\wmpub下的cmd可以执行
接着新建iis用户,属于IIS_WPG组,作为应用池登陆用户,重启iis,使应用池生效,开启软件限制策略,注销用户再登陆使组策略生效
于是开始我们的测试,再次执行C:\wmpub下cmd,出现了拦截,成功了,在系统日志也发现了记录
初步测试可以直接如下设置策略:
”当时还在土司发了个贴求过程,传送门https://www.t00ls.com/thread-18755-1-1.html
最近因一基友安全需要,一国外站点目录很混杂,手动设置权限估计会设置到手抽筋,于是就想退一步,让人家拿shell,跨站,防止提权算了。于是乎想借用到以上那个方法,这究竟怎么造成的呢,看提示肯定是组策略了,假如是麦咖啡或者ntfs应该会提示拒绝访问,于是和基友讨论一番之后开始虚拟机测试中。
开始误以为直接如下操作“gpedit.msc-计算机配置-windows设置-安全设置-软件限制策略这里启用,再添加几个受限制的目录就ok,结果测试还是如下图,在系统中执行会拒绝,但是webshell中不会拒绝,照样执行。
又想绕回去找几个类似的站去嗅探,溢出啥的,结果还是不行,按照基友的话就是我人品太……,结果换了好几个人测试都这样,最后舅舅了一周,到今天,总算测试出了方法。
本地虚拟机环境如下:
windows2003+iis6+net2.0,各盘设置磁盘权限,网站独立匿名用户控制(模拟虚拟主机),为测试需要就先对C:\wmpub设置为everyone权限,用于溢出。现在测试未开启策略的情况如下:
系统自带cmd无法执行,C:\wmpub下的cmd可以执行
接着新建iis用户,属于IIS_WPG组,作为应用池登陆用户,重启iis,使应用池生效,开启软件限制策略,注销用户再登陆使组策略生效
于是开始我们的测试,再次执行C:\wmpub下cmd,出现了拦截,成功了,在系统日志也发现了记录
初步测试可以直接如下设置策略:
1、软件策略限制为除管理员外所有账号,
2、直接增加所有盘符,都设置为不允许
3、假如有降权了的数据库,seru等,需要对相应的设置为允许,否则无法启动
评论82次
其实关键还是要权限设置好了,其他的辅助策略有很多,楼主说的这个方法也不错,还可以用macfee策略来阻止提权
麦咖啡限制脚本的写挺不错的
其实关键还是要权限设置好了,其他的辅助策略有很多,楼主说的这个方法也不错,还可以用macfee策略来阻止提权
1、软件策略限制为除管理员外所有账号。‘ 请教一下 路径规则怎么设置除管理员外所有用户? 貌似路径规则中只有没有限制、基本使用者和不允许,
软件限制策略,点强制,就会选择是针对所有用户还是管理用户之外的(所有用户貌似是要新建的,network service这个不受限制,因此要修改应用池启动用户)文字表达水平有限,图片说明==========1、设置权限之前是可以执行C:\wmpub下文件的2、修改iis应用池启动用户为webrun3、设置软件限制策略,设置为“除本地管理员以外所有用户”4、添加C:\wmpub目录设置为拒绝注意事项,若是直接添加cdef等盘的话,注意下net可能报错,自己依据对应日期放开权限设置白名单。
多谢,很明白了
1、软件策略限制为除管理员外所有账号。‘ 请教一下 路径规则怎么设置除管理员外所有用户? 貌似路径规则中只有没有限制、基本使用者和不允许,
软件限制策略,点强制,就会选择是针对所有用户还是管理用户之外的(所有用户貌似是要新建的,network service这个不受限制,因此要修改应用池启动用户) 文字表达水平有限,图片说明 ========== 1、设置权限之前是可以执行C:\wmpub下文件的 2、修改iis应用池启动用户为webrun 3、设置软件限制策略,设置为“除本地管理员以外所有用户” 4、添加C:\wmpub目录设置为拒绝 注意事项,若是直接添加cdef等盘的话,注意下net可能报错,自己依据对应日期放开权限设置白名单。
1、软件策略限制为除管理员外所有账号。‘ 请教一下 路径规则怎么设置除管理员外所有用户? 貌似路径规则中只有没有限制、基本使用者和不允许,
以后提权需要新的 xi统级漏洞了
感谢分享,不过 这里有点小bug 2、直接增加所有盘符,都设置为不允许 如果只是增加盘符(C、D、E、F),这样是防止了,但是对于c:\windows\system32\目录进行针对的话会发现他没有防护了
方法很好
以前提权的时候经常遇到,一般看到这种提示就放弃了,都没有深究其原因。果断收藏起来
收藏了,挺有帮助的,经常遇到这类问题
学xi了!
不错!支持下
不错!有效地防御...
我对组策略一直很晕,基础不牢地动山摇呀
好方法来顶顶
不错不错,学xi学xi
mark,学xi了
哪儿溢出了?
学xi一下....
好恐怖的防守