菜刀滲透提權小結

因為某原因搞某個站。主站搞不動，只能從二級域名下手，二級域名大多也不好搞，but，發現其中一個站上有其他不少旁站，於是從旁站下手。

拿shell無亮點，一筆帶過吧，上傳，bingo~

提權過程得到點心得和經驗，重點分享下：

Shell允許跨目錄，看了下權限，network service：

因為數據庫是sqlserver，故想嘗試找到數據庫連接串，用sa來提，but：

用其他庫的庫用戶登錄可以成功，能夠讀庫，可就是用sa賬戶登錄失敗，難道密碼不對？或者密碼過期了？

於是想上各種溢出繼續XO，看了下補丁情況：

有不好的預感，結果事實就是各種本地溢出都不用了。

用ms11080時，能夠進行到前4步，到添加用戶和添加用戶組時就沒動靜了。其他的工具都不能執行。用前段時間的windows全版本提權大0day也不好使。

Net user一下發現有個很奇怪的賬戶,其中administrator重命名了：（箭頭所指用戶名比較敏感，在網上能直接搜到域名，故打碼了。望見諒。）

箭頭所指用戶名是其中一個旁站的網站目錄名。

於是重點看一看：

發現是遠程桌面組內的用戶。

但是苦於沒有密碼。不過還是想上服務器看看。於是先把端口轉出來吧。

雖然上面有瑞星，但妨礙不到這些工具。找了可讀可寫木錄上傳了lcx。把3389轉出來。從外面只能看到80。其他端口包括1433都看不到。

上去后手癢隨便亂試了一下。發現用密碼用戶名+123!@#居然進去了！（此處全靠人品！）

But！！！！進來后發現該用戶權限比菜刀還不如：

菜刀下還能跨目錄任意訪問，用這個用戶進來了卻連跨盤符訪問都不行了。

到這一步時，真心有點不知咋辦了。各種溢出上了，數據庫連不上。好不容易猜到一個用戶（系統管理員沒猜中），權限還特別低。感覺基本上有點沒招使的了。

后來經過身邊某大牛提醒:

現在這個用戶是以其中一個旁站的域名命名的，所以至少該用戶在自己所在的網站目錄下的權限是比較高的。事實證明是這樣的。

用菜刀傳了一個windows全版本提權的exp到該網站目錄下。

然后在該目錄下cmd。終於能夠用該exp執行命令！

后面的動作就是導注冊表，破hash，用管理員賬號登陸。（發現管理員的密碼是1qaz!QAZ，當時猜密碼時差一點就猜中了。）

在然后就是內網橫向走了。（這台服務器的內網地址是192這個段的，而且有兩塊網卡，分別連了兩個不同的網。猜測是DMZ區的某服務器，價值比較大，所以才死磕着要先拿這台。內網的過程就暫不分享了，還在繼續中……..）

收獲的經驗總結下就是。

在旁站很多的情況下，如果有某個用戶是其中某旁站的用戶，就算在系統中權限較低，但是在自己網站所在的目錄下，權限還是很高的。