[转载] 有sa权限下的艰难提权

gty48

原作者：xiaoyu

今天无意中看到之前拿过的一个服务器，顺手登了一下，发现登不了了，看到之前记录的内容里面有sa的密码，就试了一下SQLTOOLS，发现还可以连接，然后果断认为直接加账户解决问题

问题并不是这么简单，聪明的管理员把net和net1删除掉了，然后我就想无net利用shell.user来添加用户试下，就用DOS命令 写入VBS脚本，DOS下写文件大家应该都知道，直接
@echo XXXXX>>路径

我写入的代码是
@echo Set o=CreateObject( "Shell.Users" ) >>c:\local.vbs
@echo Set z=o.create("Mysql") >>c:\local.vbs
@echo z.changePassword "123456","" >>c:\local.vbs
@echo z.setting("AccountType")=3 >>c:\local.vbs

然后DOS下利用type命令看下这个vbs的内容，确认是对了，然后执行命令
cscript c:\local.vbs



心中一阵大喜，以为到此为止了，然后连接3389，登陆的时候发现



一顿郁闷想不懂，为何会这样呢，第一个想到的应该被拦截了，难道有狗？
翻了下c盘，万只草泥马翻涌而过~~



这尼玛服务器安全狗，IIS安全狗都有

大保健全套啊，然后就想到有个for循环来建立用户的，我想能不能利用这个，让他一直循环执行这个VBS，来达到建立用户的目的，最终失败告终

这个时候，我冷静下来，喝口水~~

屡一下问题，我想既然没net 我就自己传个net，但是要怎么传呢？写马！

写个一句话木马进去，这时候面临的问题就是路径了，翻了一下路径，发现在D盘目录下

找到一个网站，试下能不能访问，然后下个txt试了下，可以访问

然后就是要写个过狗的一句话进去了，试了很多一句话木马，asp的php的，还试了最近说

好用的中转过狗，都失败了



这个应该是新版的安全狗，写一句话过狗是过不去了，接下来要找其他的方法了

首先就想到，不就是传个net吗，我进后台传就是了，就找了这个站的后台，然后想下载数

据库，发现带#，不能下载，就直接用copy命令，copy到一个不带#的文件夹下面，下载数

据库，拿到后台密码

登陆后台成功



然后就找上传点，看了下后台设置发现不能设置上传文件的类型
就直接先找下上传的地方

传了exe的不行
这时候我就在想，传个rar格式的文件，把net和net1压缩一下，传上去
上传成功

然后直接用winrar目录下的rar.exe进行解压

命令是这样用的 rar x c:\1.rar d:\123

就是把1.rar解压以后放到d:\123下面，说干就干，winrar的安装路径在






好了，到这里就搞定了，建立账号拦截，我就直接修改guest用户，改成active：yes

设置了密码  成功登陆

Alt93

沙发？  感谢分享

xiaocaicai

guest激活是不是还要提权啊？期待下一步分享。。。

fl0at

rar.exe经典

四裤全输

带#的url可以转码为%23突破，但是如果是mdb后缀，估计安全狗也会拦截下载，估计楼主是copy成rar格式下载的。