一次实战提权

  • A+
所属分类:安全文章

一次实战提权

        闲来没事,朋友发给我一个站,需要提权,然后那就试试吧,于是就有了接下来的文章,大牛勿喷

https://xxxxxx/……/Abstract.aspx地址不方便公布)

        猜测:已经上了一个aspx的大马,看来支持aspx那就可能有mssql环境,可能开放了1433,待会可以利用sa提权等等有关mssql的提权方法:


一次实战提权


        然后打开访问看看:


一次实战提权


        熟悉的界面,那我们先来搜集一下基本信息:

一次实战提权


        从这里可以判断出是win2003的服务器系统,具体请看:

一次实战提权


        然后看一下其他信息,看一下能否执行cmd,如果可以执行cmd 那就方便不少了,各种exp大展身手和端口信息 netstat -ano 还有系统信息 systeminfo等等都可以看:


一次实战提权


        显示拒绝访问代表了cmd所在的位置,c:windowssystem32cmd.exe不可读,写入估计更不可能,这种情况需要我们上传自己的cmd到可读可写目录。

        个人常常看的可读可写目录:

一次实战提权


        我简单的列举了一些完整的敏感目录可以去上网查一下
        我这里上传到了 D:RECYCLER1cmd.jpg(后缀没关系,都会以exe的形式运行),然后在cmd终端的地方填写我们的D:RECYCLER1cmd.jpg   

一次实战提权


        可以看到能够执行cmd,于是搜集一下其他信息:

一次实战提权


        等等还有很多,我就稍微列举了一些,大家可以自己百度下:


一次实战提权


        我看了一下进程,没有360大喜,然后在看开放端口时发现并没有回显,这种情况可能是netstat被删除了,需要我们上传自己的,然后再使用命令,常常遇到的是net user无法回显,解决办法一样但是我没上传,用大马自带的扫描端口功能粗略的扫描了一下,我认为这个站开放端口简单看一下就行了,于是获取到如下开放端口:


127.0.0.1 : 21 ................................. Open
127.0.0.1 : 80 ................................. Open
127.0.0.1 : 3306 ................................Open
127.0.0.1 : 3389 ................................Open

        看到了3306想到了应该有mysql数据库,从进程中mysqld.exe  1380 MySQLa,发现了这个,印证了我的猜想,刚刚进程的时候还没看到。

        于是我决定先不用exp,去找下root,可以从网站的配置信息中寻找或者从mysql的data文件夹里找,user.myd 、user.myi两个文件中找,从配置信息中很快得到了。

    'DB_TYPE'=>'mysql',
    'DB_HOST'=>'127.0.0.1',
    'DB_NAME'=>'xxxxx',
    'DB_USER'=>'root',
    'DB_PWD'=>'phpstudymysql',
    'DB_PORT'=>'3306',
    'DB_PREFIX'=>'xt_',
//   'DB_FIELDS_CACHE'   => true,//设置是否启用数据库字段缓存

        看见密码,他应该用的是phpstudy集成的吧,然后上udf.php 提权马

一次实战提权


        这个错误是因为mysql版本高,从mysql 5.1起需要dll导出到安装的目录下特定的文件夹中lib/plugin中,但是这个udf马不能导出到自定义的位置。


一次实战提权


        于是我换一个大马


一次实战提权


        然而打开大马的时候发现好像也是因为php版本太高 PHP Deprecated 屏蔽产生了错误,接连换了几个大马都是这样,最后还是选择了tools.php的一个udf提权马,也能用,还能导出到自定义位置。


一次实战提权


        然后就拿到了system权限


一次实战提权


一次实战提权


        然后就拿到了服务器,那我们来试试exp能否获得最高权限,最后试了好多exp iis6 iis7 巴西烤肉 pr ms15-051 等等都未果,看来补丁都打上了。


一次实战提权

本文始发于微信公众号(T00ls):一次实战提权

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: