0x01 前言

提示：當個反面案例看就好，實際上拿下的方式遠沒有下文說的那麼麻煩，只怪自己太心急… 本來是之前BC項目搞下來的一個推廣站，當時只拿到了Shell

許可權是一個普通用戶，想提權進一步收集伺服器上的資訊時，發現運行各種東西都是許可權拒絕，提示組策略阻止了這個程式，當時因為還有的別的事情，就沒繼續研究了（項目已獲得有關部門授權，用戶名比較敏感，後面全程打碼）。

0x02 Bypass Applocker

最近突然想起來了，就繼續搞一下，問了下群里的師傅

知道是什麼東西以後就好說了，耐心找一找總會有收穫的，附上Applocker介紹：

https://baike.baidu.com/item/Applocker/2300852?fr=aladdin

然後就找到3g師傅的一篇文章：

https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/

具體怎麼利用就自行看文章吧，看完文章後續的大概思路差不多就清晰了

0x03 上線到提權

我想的是bypass applocker讓目標伺服器執行我的馬子上線後在進行後續的提權，然而Shell下執行

net user、tasklist /SVC

等等都沒得回顯，不然可以通過進程對比判斷下殺軟（自己寫的小輪子，目前可匹配進程已經增加到960+了：http://get-av.se7ensec.cn/）

既然不知道，那我就拼一拼人品，賭一下主機里沒有殺軟，通過上面3g師傅文章的第三種方式運行了我的馬子，然後就成功上線了，忽略下面那個機器…

CS上線以後再運行某些命令，比如下面這個，還有tasklist /SCV發現還是會拒絕訪問

然後又嘗試了下CS內置的查看系統進程命令」ps「，成功列出了系統進程，看了下確實是沒有殺軟的

/* 忘了截圖 */

運行「

shell systeminfo

」發現系統和修補程式資訊居然可以看到了，然而系統根本沒打幾個修補程式，運氣有點好，看了下用戶許可權，符合Juicy Potato的要求，可以直接嘗試下爛土豆提權：

https://www.4hou.com/posts/vZoL

經過測試發現上線以後（實際上本來就有執行許可權，當時沒有想到不對勁，事後總結文章時才意識到不太對，詳見文末），C:UsersPublic下有了執行許可權，用Juicy Potato帶個whoami參數執行下，成功返回了system

再直接用它執行下馬子，等幾秒就會過來一個System的會話了，翻了翻目錄發現還是個站群

Administrator許可權截個屏看下，怪不得那麼多，原來人家都是批量建站的：

碰巧這次運氣好沒有遇到殺軟，不然肯定會是一路坎坷，也會更有挑戰性

最失敗的是這次自己沒有提前全面了解Applocker的一些功能介紹：

https://www.anquanke.com/post/id/159892

，心急的搜到了bypass方法就開始用，其實這次遇到的只是文件路徑的限制，C:UsersPublic就可以執行程式，早一點發現的話也不會那麼費勁，不過能完整了解到Applocker的機制，也算是一個收穫吧

最後感謝下haya、Beli1v1師傅的指點和幫助。