2,FLAG在C盤根目錄下!
尤里嘿嘿笑了起來,簡單的Win2003的,只要拿到SYSTEM權限,他就可以向女神小芳炫技去了..
靶場地址
http://59.63.200.79:8005/admin/Login.asp
修改Cookie登錄請查看前面 第五章
拿到webshell后,根據提示,打開C盤,查看flag時,沒有權限---->需要提權
打開終端發現沒有權限,如下
不到黃河心不死,我抱着試一試的心態去查看了C盤下的flag
由此可以看出,我們是真的沒有C盤下的權限。
回想上一關我們在找flag的時候,看見D盤下有一個CMD.exe,當然,我們也可以自己上傳(目前我們只有對D盤有部分操作權限,所以我們把cmd.exe上傳到D盤)。
工具地址
https://wws.lanzous.com/b01nrm0aj 密碼:g0nw
我就直接用服務器里的這個cmd吧。
1、信息收集
查看本服務器開放的端口和服務
可以看出,3389是開放的,但我們不知道管理員的賬號密碼,這個時候,可以自己創建一個賬戶,然后登陸
思路
沒有權限--->可以用終端--->創建用戶---->加入到管理組
找到D盤的cmd.exe文件---->右鍵選擇--->虛擬終端
我們還只是普通用戶,還是沒有辦法讀取C盤的文件。
添加用戶失敗---->沒有權限
因為使用cmd需要用到外部接口wscript.shell。但是wscript.shell仍然在C盤,C盤我們仍然無法訪問。這可怎么辦?那么就只能再上傳一個已經組裝好的wscript.shell,也就是iis6.exe。
定位到iis6.exe的目錄(我們這里都在D:/05文件夾下面的,就不需要特別操作了)
調用iis6.exe來執行命令,發現,我們已經是獲得本地最高權限啦。
我嘗試直接讀取文件的內容,或將文件移動到我們有權限的地方,但都失敗了
2、創建用戶
iis6.exe "net user hack /add" 添加hack用戶
iis6.exe "net user hack " 查看hack用戶的相關信息
通過命令查看,還是普通用戶
有時候執行命令不一定成功,需要多執行幾次
iis6.exe "net localgroup administrators hack /add" 將hack用戶添加到管理組
使用遠程桌面進行登陸
如遠程連接時,出現“終端服務器超出了最大允許連接數”,
是因為之前的同學測試了沒有注銷,導致無法連接。
可使用iis6.exe “query user /server:x.x.x.x” 查看遠程操作系統的用戶連接會話,
x.x.x.x 可通過ipconifg查看到當前服務器的IP地址
iis6.exe “logoff id /server:x.x.x.x”, 注銷沒用的用戶會話。
id是需要注銷的ID