大馬提權詳細過程webshell到提權

  

.在shell路徑這一欄里輸入服務器端cmd.exe對應的絕對路徑，這里用我們剛剛上傳上去的smallchao.exe

 

 

8.WINDOWS常見命令：
net user 查看所有用戶
query user 查看當前運行中的用戶
net user 用戶名  密碼    修改用戶密碼
net user 用戶名  密碼   /add       添加用戶
net user 用戶名  密碼   /active    激活用戶

net localgroup administrators  用戶名  /add        添加管理員組

 

 

 

我們通過cmd.exe去執行iis6.exe這個程序（iis6.0可以執行系統權限）

這里我們將SUPPORT_388945a0用戶添加為管理員用戶。

 

10.也可以新建一個用戶chao  密碼為chaogege123

 

11.然后將chao這個用戶加入到管理員賬戶組中

在WINDOWS左下角輸入mstsc呼出，點擊遠程桌面連接

 

12.輸入ip，點擊連接，之后輸入我們剛剛創建的用戶名chao和對應密碼即可遠程登陸服務器桌面

 

 

在上一章中，我已經通過上傳一句話馬，用菜刀連接了上傳的這個文件，從而得到了后台的部分權限。但是我試過，現在擁有的權限，還不能打開c盤中的文件。而C盤中的文件往往都是比較重要的，因此，我需要提升自己的權限，如下圖。

 

       進入傳送門后，發現這一章的網站仍然是之前看到過的那個。而這個網站的管理員cookie已經被我拿到，並且已經成功上傳一句話馬至服務器了，如下圖。

 

       因此我直接來到了菜刀，進入了文件管理器視圖，並試圖點開C盤，如下圖。

 

       進入c盤之后，一眼就掃到了flag.txt。這么簡單嗎？點開試試，如下圖。

 

       但是並沒有權限訪問這個文件，這就很尷尬了。所以目標已經非常明確了--提升我的權限，讓我能夠訪問C盤中的文件。那么怎么提升我的權限呢--命令行工具！cmd命令行自帶了很多的系統指令，其中包括添加用戶/添加用戶組等等，這不正好合適嗎？我添加一個自己的用戶身份，然后把這個用戶添加到管理員組，再用這個用戶去登陸服務器，不就有權限去打開flag.txt文件了，如下圖。

 

       說干就干。我來到了菜刀初始頁面，右鍵並打開了虛擬終端，進入了命令行，如下圖。

 

       進入命令行之后，我直接輸入了whoami指令，查看我當前的身份。但是卻發現拒絕訪問。這是為啥呢？因為命令提示符是在C盤的，但是C盤里的東西我不能訪問。這可咋整！

       於是我又想起了老師提供的那個cmd.exe文件。我直接把這個文件傳到服務器中我能訪問的盤符不就可以用cmd了嗎，如下圖。

 

       經過測試，我發現E盤是可以上傳文件的。因此我選擇在E盤的RECYCLER文件夾下進行上傳，如下圖。

 

       選擇cmd.exe進行上傳，如下圖。

 

       可以看到，文件正在上傳，如下圖。

 

       上傳成功后，直接在這個文件上右鍵並打開虛擬終端，如下圖。

 

       我再次輸入whoami命令。這次果然有權限了，但是從返回結果看，我目前只是一個普通用戶，如下圖。

 

       然后我按照剛才的思路進行添加用戶--pigking。但是又拒絕訪問。

 

       這又是為啥？這是因為使用cmd需要用到外部接口wscript.shell。但是wscript.shell仍然在C盤，C盤我們仍然無法訪問。這可怎么辦？那么就只能再上傳一個已經組裝好的wscript.shell，也就是下圖的iis6.exe。

 

       上傳完成之后，如下圖，我繼續回到命令行界面。

 

       此時，我用cd命令切換到剛才上傳文件的目錄--E:\RECYCLER，如下圖。

 

       然后我通過iis6.exe執行了whoami命令--iis6.exe "whoami"。然后，程序返回了很多信息，其中--this exploit gives you a local system shell，我從這句話中看出它已經給了我system的命令行權限，如下圖。

 

       因此，我再執行同樣的指令，以確定我現在的身份。現在我看到cmd正在以system權限執行這條指令，而我現在的權限已經變成了system，如下圖。

 

       於是，我再次嘗試通過--iis6.exe “net user pig 123 /add”添加pig用戶，此時，這條命令就成功了，如下圖。

 

       然后我用net user pig指令查看了pig用戶的信息，發現它現在只是普通用戶，所以我應該把它變成管理員用戶才行，如下圖。

 

       於是，我用iis6.exe "net localgroup Administrators pig /add"指令向管理員用戶組成功添加了pig用戶，如下圖。

 

       再次查看pig用戶，發現它已經再管理員用戶組中了，如下圖。

 

       既然我已經擁有了管理員用戶，那么我就需要利用這個用戶去搞事情。於是我想到了用遠程桌面服務去連接這個網站的服務器，並用pig用戶登陸。於是我打開遠程桌面，並輸入該網站的ip+port，但是卻顯示無法連接。遠程桌面作為一個程序，那么它一定占用了一個端口號。而ip+端口號表示的是域名，而這個端口號其實就是服務軟件的端口號，ip表示的是這台服務器電腦，因此如果想和服務器上的遠程桌面服務進行對接，那么肯定要把端口號換成它占用的的端口號。因此我們需要去獲取端口號，如下圖。

 

       於是我再次來當命令行，用tasklist -svc命令查看了這台服務器開啟的服務，發現遠程桌面服務termservice的pid是1588，如下圖。

 

       然后我又使用netstat -ano查看了端口和連接狀態，結果顯示pid=1588所對應的端口號是3389，狀態是正在監聽，也就是說遠程桌面服務的端口號是3389，並且它正處於監聽狀態，而就是說它是開着的，只要這個端口收到信息，它就能知道。但是下面還有一個1588，狀態是正在通信，且外部地址不是0.0.0.0:0,估計是某個正在做這個靶場的同學，如下圖。

 

       我回到遠程桌面，將端口號改為了3389，如下圖。

 

       哥們忙着做大事，直接忽略這個警告，如下圖。

 

       此時，開始了連接，真是令人興奮，如下圖。

 

       連接成功！輸入之前創建的用戶名--pig，密碼--123，如下圖。

 

       此時，終於真正侵入了這台服務器，點開我的電腦，如下圖。

 

       再點開C盤，答案近在眼前，如下圖。

 

       yes！就是它--flag.txt，如下圖。

 

       打開之后，熟悉的key出現了--zkz{F3ck_power_3y3stem}。

 

       最后，請必須打開任務管理器，以注銷的方式離開，如下圖。