记一次Windows宝塔面板提权骚操作

我们已经拿到网站的WebShell，测试命令执行，发现是没有权限的。

经过一番查看，发现是使用的宝塔面板，并且可以修改面板目录下的config/api.json文件

之前研究过宝塔的API接口，这个文件不就是API接口配置文件么？

果断修改之，这里的open默认为false,即关闭，修改为true，token是远程的密匙，limit_addr是授权ip，填写成您的即可。

{"open": true, "token": "da50a7ffd26f4cad503495611ecaa3cc", "limit_addr": ["您的IP"]}

这个Token对应的密匙的 hJFJI1Vg2EgIpZEb2X5Eb9bbOFUBXLMc，填写到php文件内填写这个接口。

在宝塔官网找到php版api接口的demo，简单修改添加一个添加定时任务和获取定时任务的接口，如 下图。

添加完成之后调用方法添加一条添加管理员并修改管理组的命令，设置为每分钟执行一次。

执行PHP

可以看到返回的列表里，定时任务已经添加成功，等待一分钟远程连接，如果有修改远程端口可以通过同样方法把获取远程端口写出文件的命令添加到定时任务。

成功获取服务器权限 提权成功。

本文始发于微信公众号（疯猫网络）：记一次Windows宝塔面板提权骚操作