[转载] 有sa权限下的艰难提权
原作者:xiaoyu今天无意中看到之前拿过的一个服务器,顺手登了一下,发现登不了了,看到之前记录的内容里面有sa的密码,就试了一下SQLTOOLS,发现还可以连接,然后果断认为直接加账户解决问题
问题并不是这么简单,聪明的管理员把net和net1删除掉了,然后我就想无net利用shell.user来添加用户试下,就用DOS命令 写入VBS脚本,DOS下写文件大家应该都知道,直接
@echo XXXXX>>路径
我写入的代码是
@echo Set o=CreateObject( "Shell.Users" ) >>c:\local.vbs
@echo Set z=o.create("Mysql") >>c:\local.vbs
@echo z.changePassword "123456","" >>c:\local.vbs
@echo z.setting("AccountType")=3 >>c:\local.vbs
然后DOS下利用type命令看下这个vbs的内容,确认是对了,然后执行命令
cscript c:\local.vbs
心中一阵大喜,以为到此为止了,然后连接3389,登陆的时候发现
一顿郁闷想不懂,为何会这样呢,第一个想到的应该被拦截了,难道有狗?
翻了下c盘,万只草泥马翻涌而过~~
这尼玛服务器安全狗,IIS安全狗都有
大保健全套啊,然后就想到有个for循环来建立用户的,我想能不能利用这个,让他一直循环执行这个VBS,来达到建立用户的目的,最终失败告终
这个时候,我冷静下来,喝口水~~
屡一下问题,我想既然没net 我就自己传个net,但是要怎么传呢?写马!
写个一句话木马进去,这时候面临的问题就是路径了,翻了一下路径,发现在D盘目录下
找到一个网站,试下能不能访问,然后下个txt试了下,可以访问
然后就是要写个过狗的一句话进去了,试了很多一句话木马,asp的php的,还试了最近说
好用的中转过狗,都失败了
这个应该是新版的安全狗,写一句话过狗是过不去了,接下来要找其他的方法了
首先就想到,不就是传个net吗,我进后台传就是了,就找了这个站的后台,然后想下载数
据库,发现带#,不能下载,就直接用copy命令,copy到一个不带#的文件夹下面,下载数
据库,拿到后台密码
登陆后台成功
然后就找上传点,看了下后台设置发现不能设置上传文件的类型
就直接先找下上传的地方
传了exe的不行
这时候我就在想,传个rar格式的文件,把net和net1压缩一下,传上去
上传成功
然后直接用winrar目录下的rar.exe进行解压
命令是这样用的 rar x c:\1.rar d:\123
就是把1.rar解压以后放到d:\123下面,说干就干,winrar的安装路径在
好了,到这里就搞定了,建立账号拦截,我就直接修改guest用户,改成active:yes
设置了密码成功登陆
沙发?感谢分享 guest激活是不是还要提权啊?期待下一步分享。。。 rar.exe经典 带#的url可以转码为%23突破,但是如果是mdb后缀,估计安全狗也会拦截下载,估计楼主是copy成rar格式下载的。
页:
[1]