一次实战提权

        闲来没事，朋友发给我一个站，需要提权，然后那就试试吧，于是就有了接下来的文章，大牛勿喷

https://xxxxxx/……/Abstract.aspx（地址不方便公布）

        猜测：已经上了一个aspx的大马，看来支持aspx那就可能有mssql环境，可能开放了1433，待会可以利用sa提权等等有关mssql的提权方法：

        然后打开访问看看：

        熟悉的界面，那我们先来搜集一下基本信息：

        从这里可以判断出是win2003的服务器系统，具体请看：

        然后看一下其他信息，看一下能否执行cmd，如果可以执行cmd 那就方便不少了，各种exp大展身手和端口信息 netstat -ano 还有系统信息 systeminfo等等都可以看：

        显示拒绝访问代表了cmd所在的位置，c:windowssystem32cmd.exe不可读，写入估计更不可能，这种情况需要我们上传自己的cmd到可读可写目录。

        个人常常看的可读可写目录：

        我简单的列举了一些完整的敏感目录可以去上网查一下
        我这里上传到了 D:RECYCLER1cmd.jpg（后缀没关系，都会以exe的形式运行），然后在cmd终端的地方填写我们的D:RECYCLER1cmd.jpg   

        可以看到能够执行cmd，于是搜集一下其他信息：

        等等还有很多，我就稍微列举了一些，大家可以自己百度下：

        我看了一下进程，没有360大喜，然后在看开放端口时发现并没有回显，这种情况可能是netstat被删除了，需要我们上传自己的，然后再使用命令，常常遇到的是net user无法回显，解决办法一样但是我没上传，用大马自带的扫描端口功能粗略的扫描了一下，我认为这个站开放端口简单看一下就行了，于是获取到如下开放端口：

127.0.0.1 : 21 ................................. Open
127.0.0.1 : 80 ................................. Open
127.0.0.1 : 3306 ................................Open
127.0.0.1 : 3389 ................................Open

        看到了3306想到了应该有mysql数据库，从进程中mysqld.exe  1380 MySQLa，发现了这个，印证了我的猜想，刚刚进程的时候还没看到。

        于是我决定先不用exp，去找下root，可以从网站的配置信息中寻找或者从mysql的data文件夹里找，user.myd 、user.myi两个文件中找，从配置信息中很快得到了。

    'DB_TYPE'=>'mysql',
    'DB_HOST'=>'127.0.0.1',
    'DB_NAME'=>'xxxxx',
    'DB_USER'=>'root',
    'DB_PWD'=>'phpstudymysql',
    'DB_PORT'=>'3306',
    'DB_PREFIX'=>'xt_',
//   'DB_FIELDS_CACHE'   => true,//设置是否启用数据库字段缓存

        看见密码，他应该用的是phpstudy集成的吧，然后上udf.php 提权马

        这个错误是因为mysql版本高，从mysql 5.1起需要dll导出到安装的目录下特定的文件夹中lib/plugin中，但是这个udf马不能导出到自定义的位置。

        于是我换一个大马

        然而打开大马的时候发现好像也是因为php版本太高 PHP Deprecated 屏蔽产生了错误，接连换了几个大马都是这样，最后还是选择了tools.php的一个udf提权马，也能用，还能导出到自定义位置。

        然后就拿到了system权限

        然后就拿到了服务器，那我们来试试exp能否获得最高权限，最后试了好多exp iis6 iis7 巴西烤肉 pr ms15-051 等等都未果，看来补丁都打上了。

本文始发于微信公众号（T00ls）：一次实战提权