记一次艰辛的提权过程(旧文回发二)
此文写于三个月前,同样谈的是思路:
下午随便访问一个服装集团的网站,无意间发现网站后台的弱口令,于是稍微搞了下,webshell到手了(与主题无关,简单略过),这个服务器是某某科技的虚拟主机,可是我asp的webshell权限居然蛮大的,我兴奋了下:有戏了!
服务器是windows2000的系统,各个盘都可以访问,于是我一个盘一个盘的转悠,在c盘下看到了php文件夹,原来这服务器还支持php,不管怎样,php的权限应该比asp大吧,于是我上传了个php的webshell,开始想办法提权了。
一、 Serv-U提权:
我在服务器的M盘(管理员蛮有意思,D、E盘是光驱,C、M、N盘是本地磁盘)里的Program Files下发现了Serv-U,一看version,是6.0的,高兴了下,那还不轻松搞定…于是用webshell自带的Serv-U提权工具提权,显示如下图:
Recv: 200 EXEC command successful (TID=33).意思是成功了,可是命令下行下net user一下,却没有见到我应该看见的oldjun…
我无语了,难道说传说中RP有问题,再试了下,依旧显示成功却无效果…百度了下Serv-U提权,网上很多说不成功的都是因为版本问题或者就是Serv-U的默认管理密码被修改了,我这个版本肯定是满足的,难道默认密码被修改了(虽然webshell的回显告诉我是正确的)?
于是我把ServUDaemon.exe与ServUAdmin.exe下回来,用UltraEdit检查了下,可是密码确确实实是原始密码:
看来人品真的有问题,好运落不到我身上,再试了一次无果之后我决定放弃Serv-U,想其他办法了…
二、 mysql提权:
浪费了好长时间之后我决定不能吊死在一棵树上,这台服务器有mysql,只要有root权限,也是可以提权的啊,我去C盘winnt目录下看了下,发现了装mysql留下的配置文件:my.ini,于是得到了root的口令:
有了root口令,我还有早已准备好的mysql下提权的工具mysql.php,直接上传上去输入信息连接成功,接下来就简单啦,先导出udf.dll到C:\Winnt\下面。然后执行:
create function cmdshell returns string soname 'udf.dll'
提示成功后接着执行:
select cmdshell('net user oldjun oldjun /add')
返回成功:
接下来执行:select cmdshell('net localgroup administrators oldjun /add')同样返回完成。
一切OK后我习惯的net user了下,我傻眼了,居然还是原来的那几个用户…提权又失败了?难道我RP差到极端了?难道创建的cmdshell函数有问题,不能执行命令?NND的那几个帐户我越看越不顺眼,顺手执行了个(download是系统的一个帐户名):
select cmdshell('net user download /del')
再回头net user一看,download用户果然没了,难道只能del不能add?我不信这个邪了,又换个用户名oldjun$试了下,依旧没效果,看来这个管理员功夫深厚啊…
当然,这么点困难难不倒我啦,既然有这么大的权限,我干什么不行啊…究竟是什么问题,待会就晓得啦。
三、 反向木马提权:
因为手头上没免杀的鸽子,于是找个黑防的Pcshare凑合凑合,配置好客户端aa.exe以后,上传到服务器的C盘,再在cmdshell中执行下,成功了:
几秒钟后,我的小肉鸡就上线了,我迫不及待的打开超级终端,输入:
Net user oldjun oldjun /add 后出现如下提示:
于是,我一下子清醒了,难怪这么多次显示成功却没成功,看来不是我人品不济啊,再试试:
试了这么多次,终于成功了,这管理员也太变态了,不好好的设置服务器权限,居然在组策略里启用了“密码必须符合复杂性要求。”这分明是为难自己人么?那么长的密码不嫌难记啊:-)
什么是密码必须符合复杂性要求?组策略里有说明:
总结:
一个下午的研究多少也有点收获…感觉要写点给大家,一是告诉大家提权不要吊死在一棵树上,条条大道通罗马;二是大家提权的时候一定得注意这些细节别急躁,不然本来的成功也变成失败啦;第三,对于系统的防护来讲,启用“密码必须符合复杂性要求。”还是蛮对的,至少可以防住一些菜菜…
下午随便访问一个服装集团的网站,无意间发现网站后台的弱口令,于是稍微搞了下,webshell到手了(与主题无关,简单略过),这个服务器是某某科技的虚拟主机,可是我asp的webshell权限居然蛮大的,我兴奋了下:有戏了!
服务器是windows2000的系统,各个盘都可以访问,于是我一个盘一个盘的转悠,在c盘下看到了php文件夹,原来这服务器还支持php,不管怎样,php的权限应该比asp大吧,于是我上传了个php的webshell,开始想办法提权了。
一、 Serv-U提权:
我在服务器的M盘(管理员蛮有意思,D、E盘是光驱,C、M、N盘是本地磁盘)里的Program Files下发现了Serv-U,一看version,是6.0的,高兴了下,那还不轻松搞定…于是用webshell自带的Serv-U提权工具提权,显示如下图:
Recv: 200 EXEC command successful (TID=33).意思是成功了,可是命令下行下net user一下,却没有见到我应该看见的oldjun…
我无语了,难道说传说中RP有问题,再试了下,依旧显示成功却无效果…百度了下Serv-U提权,网上很多说不成功的都是因为版本问题或者就是Serv-U的默认管理密码被修改了,我这个版本肯定是满足的,难道默认密码被修改了(虽然webshell的回显告诉我是正确的)?
于是我把ServUDaemon.exe与ServUAdmin.exe下回来,用UltraEdit检查了下,可是密码确确实实是原始密码:
看来人品真的有问题,好运落不到我身上,再试了一次无果之后我决定放弃Serv-U,想其他办法了…
二、 mysql提权:
浪费了好长时间之后我决定不能吊死在一棵树上,这台服务器有mysql,只要有root权限,也是可以提权的啊,我去C盘winnt目录下看了下,发现了装mysql留下的配置文件:my.ini,于是得到了root的口令:
有了root口令,我还有早已准备好的mysql下提权的工具mysql.php,直接上传上去输入信息连接成功,接下来就简单啦,先导出udf.dll到C:\Winnt\下面。然后执行:
create function cmdshell returns string soname 'udf.dll'
提示成功后接着执行:
select cmdshell('net user oldjun oldjun /add')
返回成功:
接下来执行:select cmdshell('net localgroup administrators oldjun /add')同样返回完成。
一切OK后我习惯的net user了下,我傻眼了,居然还是原来的那几个用户…提权又失败了?难道我RP差到极端了?难道创建的cmdshell函数有问题,不能执行命令?NND的那几个帐户我越看越不顺眼,顺手执行了个(download是系统的一个帐户名):
select cmdshell('net user download /del')
再回头net user一看,download用户果然没了,难道只能del不能add?我不信这个邪了,又换个用户名oldjun$试了下,依旧没效果,看来这个管理员功夫深厚啊…
当然,这么点困难难不倒我啦,既然有这么大的权限,我干什么不行啊…究竟是什么问题,待会就晓得啦。
三、 反向木马提权:
因为手头上没免杀的鸽子,于是找个黑防的Pcshare凑合凑合,配置好客户端aa.exe以后,上传到服务器的C盘,再在cmdshell中执行下,成功了:
几秒钟后,我的小肉鸡就上线了,我迫不及待的打开超级终端,输入:
Net user oldjun oldjun /add 后出现如下提示:
于是,我一下子清醒了,难怪这么多次显示成功却没成功,看来不是我人品不济啊,再试试:
试了这么多次,终于成功了,这管理员也太变态了,不好好的设置服务器权限,居然在组策略里启用了“密码必须符合复杂性要求。”这分明是为难自己人么?那么长的密码不嫌难记啊:-)
什么是密码必须符合复杂性要求?组策略里有说明:
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
总结:
一个下午的研究多少也有点收获…感觉要写点给大家,一是告诉大家提权不要吊死在一棵树上,条条大道通罗马;二是大家提权的时候一定得注意这些细节别急躁,不然本来的成功也变成失败啦;第三,对于系统的防护来讲,启用“密码必须符合复杂性要求。”还是蛮对的,至少可以防住一些菜菜…
关于作者
评论0次