突破不支持php脚本进行mysql提权

0x1  提权前信息收集

1.菜刀是否可以执行cmd：

2.支持哪些脚本？

探测结果支持：aspx，不支持php(php直接原样输出代码！) —>aspx可以执行cmd

3.aspx的cmd权限：

4.系统版本：

5.开放端口情况：

21  80  135  445  1025  1030  3306  3311  3312   3313  5555–>3311-3313是kangle这个程序的端口，并且kangle程序的管理后台是php脚本的，为何站点不支持php呢？先放一放！5555未知端口，很有可能是远程端口

6.进程情况：

有云锁和360，防护软件倒是不少！细看teamservice的PID

返回netstat -ano看端口的PID

得出结论：没开3389！

7.ip探测：

8.目录探测：

servu和mysql可能能够利用！

9.思路总结：

思路1：network service+windows2003  –>pr秒杀！–>由于有云锁和360，失败可能性极大

思路2：servu提权—>servu的端口也可能是5555

思路3：mysql的root解密，用udf或者mof提权！

0x2  开始提权

思路1：

的确失败了！

思路2：

先探测一下服务，看看是不是有servu的服务，免得到头来白费劲

并未找到serv-u的服务！思路断了—>但是看见了mysql！

思路3：

由系统服务看到了这么一串代码：

"C:Program FilesMySQLMySQL Server 5.1binmysqld" --defaults-file="C:Program FilesMySQLMySQL Server 5.1my.ini" MySQL

百度后知道：
        这是将数据库和mysql主程序分离的手段，但是my.ini中一样暴露了mysql的数据路径：ps:搜索datadir就可以找到数据地址！

去找root密码吧！

        下载user.MYD成功解密了root的密码！但是问题来了，不支持php，我如何去连接mysql数据库呢？

思考方法：

1.asp大马—>我仔细看了一遍我有的asp大马，里面都只是支持mssql和access语句执行，并不支持mysql！

2.菜刀的数据库管理连接mysql数据库！结果如下：

3.寻找kangle的后台，在那里试试是否支持php！

0x3  踏上走向寻找kangle的道路–>因为我以前博客的空间是朋友用kangle搭建给我的，所以对kangle有所了解！

kangle后台存放于3312端口，页面如下：

这是我朋友博客的一个截图，通过这个截图可以看出，kangle的后台存放于一个vhost的文件夹下，翻翻目录：

找到了vhost了，并且将大马写入！访问目标站点的3312端口：

很有可能这个端口开放在内网！那好办，上lcx.exe将3312转发到我博客的服务器：

然后访问119.29.63.156的3312–>这里我博客的lcx将51的流量转发到了3312！ps：各位大牛高抬贵手，不要搞我博客哦，这里就不打码了！然后访问大马：

ok，访问到我的php大马了！进去执行命令：

可以执行命令，直接上udf提权

提升到system权限了，顺利加了用户

0x4  开3389

现在经过T00ls的前辈们的指导，我开3389已经轻车熟路了，很好办的：

貌似是失败了，看3389，的确没开！

换命令：
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

这个命令在大马里面执行不了–>因为貌似这个大马过滤%，上次就是这种情况，只能反弹shell了！

反弹shell出了问题，额！到这里有点焦急了，因为怕直接用php大马的反弹连接反弹的shell不是system权限还是无法开启远程端口，先试试吧，不行了再想办法：

还好，反弹来的shell是system权限！

执行命令失败了！又翻了一下之前在论坛发的开3389求助贴，然后试了下另外一条命令：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

操作完成，估计是开了吧！

3389开了，直接一个转发，就可以连接到目标服务器了！

本文始发于微信公众号（T00ls）：突破不支持php脚本进行mysql提权