首页 > 代码库 > 记一次提权过程

记一次提权过程

太久都没有看菜刀上的webshell,之前拿的都被删的差不多了,所以决定把手上的一些站都提权。菜鸟拿一个shell不简单阿。

这都是一些简单的提权,大牛可飞过。

把大马上传上去后,稍微看了下,ASP,PHP,ASPX都是支持的,不过wscript.shell组件是已经关闭的了。那么就用PHP的来提权吧。

 

翻了一下网站里面的文件,找到了一个数据库链接文件,竟然还是root用户,那自然就是用mysql来提权了。

上传大马,看看root的权限有没有被限制。

还是可以跨目录来访问其他文件的,说明root并没有被限制,由于这个系统是windows,所以在mysql中输入地址需要用\\而不是一个\

那么我们可以安装MysqlDll.dll来执行系统命令。

很顺利的返回类系统的版本信息,是2003。

那么接着就是常用的提权命令咯,

net user admin admin /add && net localgroup administrators admin /add

执行完毕后显示succeed,但是并没有会显,测试下net user,看有没有添加上去。

还是没有回显,当时想是不是没有权限执行这个命令阿,但是感觉又不像阿,在各种测试后,发现坑爹的管理员把net 改成类net1

看来以后执行不了net要测试下大小写和其他的变式了。

但是问题又来了,虽然可以添加用户,但是却无法提升权限,这个是为什么?还望有大牛可以指点以下小弟。

命令执行完了,但是查看下当前用户的所属组,却还是user

是不是 net localgroup这个命令又被做了手脚?

再测试一下

那么原因大概有3点:

1.未启用

2.被禁用

3.被删除

那么一个一个的来排除试试

开启服务

显示无法启动,错误代码1058

那肯能是被禁用了

把服务设置为手动

提示成功,但是没有返回,试试net1 localgroup

还是和上面的错误一样,那么可能是被删除了,到这里突然就断了思路,上传各种提权工具来执行,好像都不可以。

后来发给一个大牛,瞬间就把管理员的帐号密码发了给我。当时我就吓到了,怎么做到的?大牛不回答这个问题。后来和同学研究了一下,可能他是用了某个不需要参数的工具执行直接获取管理员密码了。

那么就试试吧,上传一个工具,然后执行,密码还真的出来了。

拿到管理员的帐号和密码后,那么就是开3389登录了

试了下发现无法登录,要吗是内网,要吗是把端口给改了。

执行tasklist /svc查看当前任务,可以看到TermService是开启的,那么记下PID

再查看一下端口 netstat -ano

可以看到3389端口被换成类1468端口

在此感谢Wood同学 

记一次提权过程