首页 > 代码库 > 记一次提权过程
记一次提权过程
太久都没有看菜刀上的webshell,之前拿的都被删的差不多了,所以决定把手上的一些站都提权。菜鸟拿一个shell不简单阿。
这都是一些简单的提权,大牛可飞过。
把大马上传上去后,稍微看了下,ASP,PHP,ASPX都是支持的,不过wscript.shell组件是已经关闭的了。那么就用PHP的来提权吧。
翻了一下网站里面的文件,找到了一个数据库链接文件,竟然还是root用户,那自然就是用mysql来提权了。
上传大马,看看root的权限有没有被限制。
还是可以跨目录来访问其他文件的,说明root并没有被限制,由于这个系统是windows,所以在mysql中输入地址需要用\\而不是一个\
那么我们可以安装MysqlDll.dll来执行系统命令。
很顺利的返回类系统的版本信息,是2003。
那么接着就是常用的提权命令咯,
net user admin admin /add && net localgroup administrators admin /add
执行完毕后显示succeed,但是并没有会显,测试下net user,看有没有添加上去。
还是没有回显,当时想是不是没有权限执行这个命令阿,但是感觉又不像阿,在各种测试后,发现坑爹的管理员把net 改成类net1
看来以后执行不了net要测试下大小写和其他的变式了。
但是问题又来了,虽然可以添加用户,但是却无法提升权限,这个是为什么?还望有大牛可以指点以下小弟。
命令执行完了,但是查看下当前用户的所属组,却还是user
是不是 net localgroup这个命令又被做了手脚?
再测试一下
那么原因大概有3点:
1.未启用
2.被禁用
3.被删除
那么一个一个的来排除试试
开启服务
显示无法启动,错误代码1058
那肯能是被禁用了
把服务设置为手动
提示成功,但是没有返回,试试net1 localgroup
还是和上面的错误一样,那么可能是被删除了,到这里突然就断了思路,上传各种提权工具来执行,好像都不可以。
后来发给一个大牛,瞬间就把管理员的帐号密码发了给我。当时我就吓到了,怎么做到的?大牛不回答这个问题。后来和同学研究了一下,可能他是用了某个不需要参数的工具执行直接获取管理员密码了。
那么就试试吧,上传一个工具,然后执行,密码还真的出来了。
拿到管理员的帐号和密码后,那么就是开3389登录了
试了下发现无法登录,要吗是内网,要吗是把端口给改了。
执行tasklist /svc查看当前任务,可以看到TermService是开启的,那么记下PID
再查看一下端口 netstat -ano
可以看到3389端口被换成类1468端口
在此感谢Wood同学
记一次提权过程