提权

CracerCracer 2015-12-21 渗透测试 656 0 3

以前C一站, 拿下了一个dede的 直接90sec.php的。

过了几天 发现90sec.php 404了。

然后去用鬼哥的getshell

psb2

发现已经不行了

psb3

0715  getshell无力。

 

然后data/mysql_error_trace.inc 木有 找了下后台 没有找到。

准备放弃了, 后来想到 可能有人用鬼哥的getshell玩过了

因为我也是90sec.php进去的嘛

就试试默认的mytag_js.php?aid=9090

pppsb

提示200是因为 mytag_js.php存在的把。

或许别人没用鬼哥默认的aid 然后就想用burpsuite枚举一下那个aid 前面论坛有人提到过

pooosb

设置好变量, 然后payloads   payload type 选择numbers 然后1-10000 setp1

start attack

psooooooooooooooooob

点status 上面出现了200. /data/cache/mytag-1000.htm  果断访问

psooooooooooooooooooooooooob

然后连接成功。 然后就是提权了。   找root不多说, myd 就找到了。

然后准备提权, 准备上udf  但是不知道是怎么回事。  不能写php的文件 .php;.jpg 的 也不行 如果是apache的还可以.php.aaa

但是这个是iis的 什么php3 4 5 phtml 都不能解析 也不能替换原有的php文件

psoooooooooooooooob

为毛mytag_js.php?aid=9090这种能连接。

看了看mytag_js.php 这文件。小菜不会php。

就应该是包含data/cache/mytag-$aid.htm  写个一句话为mytag-5.htm 就能用mytag_js.php?aid=5来连接

小菜不会php 如果说错了请大牛们指教下

因为不能写php嘛 我就想把udf写到data/cache/mytag-1.htm

用现有mytag_js.php来包含这htm

psooooooooooooooooooooob

但是登录之后又遇到了新问题

psoooooooooooooooooooooooooooooooooooooooooooooooooooob

因为之前已经有一个参数了 ?aid=1 登录之后 包括执行命令 又要加一个参数我用/plus/mytag_js.php?aid=1&?action=connect 又回了刚才登录的那个页面再登录 ?aid 又没有了。 不知道怎么搞了。然后就准备用菜刀的数据库管理直接提权把。 跟phpmyadmin 差不多。select version();   5.1.28-rc-communitymysql5.1的导入到mysql目录下的lib/plugin 默认是没有的,如果没有可以利用ADS来创建select @@basedir;        d:\mysql\mysql5.1\
这站已经有plugin了 省的我创建了。
首先先选择一个库。
然后创建一个表
CREATE TABLE yu(udf BLOB);
然后插入udf的hex

INSERT into yu values (CONVERT(udfhex,CHAR));
由于hex后的udf还是挺大的。 把我菜刀卡死几次。。。SELECT udf FROM yu INTO DUMPFILE 'd:\\mysql\\mysql5.1\\lib\\plugin\\yu.dll';
psoob
可以看到udfhex结尾是00 但是菜刀结尾是40d
因为我是把语句先复制好 再用udfhex 去替换语句里面的那个的。
没写完 应该是菜刀有字符长度限制。 然后我试着在菜刀后面写几个数字 没写进去。 应该是有字符长度限制把。
然后就准备上phpmyadmin 但是貌似没找到。
然后就开外联把 连上去搞。
GRANT ALL PRIVILEGES ON *.* TO ‘root'@'%' IDENTIFIED BY ‘rootPassword' WITH GRANT OPTION;

成功连接 重新建个表 重复步骤了。

psob
复制完了。
psppppppppppppppppppppb
创建cmdshell成功 以为已经完了的时候
psb8

cmdshell无法执行。  之前也遇到过这种情况。

然后就准备mof。 不过我现在还不知道终端 添加了账户也没用
不支持ws aspx 不能执行命令 Nmap扫了一会 后面不知道怎么就扫不动了。
然后就准备用那个执行命令的mof
把命令改成了netstat -ano >网站目录/1.txt
导入后 没生成1.txt

不过话说我用这个执行命令的mof就没成功过

 

对于这种情况 我机油tr0jan 之前也谈到过。
有几种方法来解决 因为udf自带了好像是10个函数把
1:用Backshell
2:用downloader函数下载木马或者什么东西到启动项
3:用regwrite 来劫持sethc

 

对于第一种我直接执行backshell的时候提示失败了
对于第三种 劫持了sethc 表示还不知道终端。
只有第二种了
写了个bat就写的是netstat -ano >网站目录/1.txt
然后就准备用donlowder函数下载到启动了

 p8888888888888888888sb

提示错误了。  但是我下载到英文目录是可以成功的。
应该是中文的问题 然后就准备先传到英文目录里
然后select load_file into dumpfile 到启动项
但是dumpfile到中文也是不行的
也可以利用那多行语句解决单引号那方法 也可以解决中文目录

 p888888888888sb

p8888888888888888888888sb

这里是我弄麻烦了。 其实是因为navicat里面的 默认字符是utf-8 所以不能下载到中文目录把改成gbk的就可以直接下载到中文目录了。  感谢tr0jan 。
导出成功。   我还把bat编译成了exe都写进去了、。
然后创建shut函数 然后reboot
发现机子重启了。 一会开机后发现网站目录上生成了1.txt
里面都是端口 懒得再写个tasklist /svc看term的pid了
然后就一个一个的试可疑点的端口
然后找到了终端。
然后用加账户的mof成功。
测试了下regwrite

Create Function regwrite returns string soname 'xiaoyu.dll'

select regwrite("HKEY_LOCAL_MACHINE","SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe","debugger","REG_SZ","C:\\recycler\\cmd.exe");
自己传一个cmd 然后就没了。
拿下服务器。

 

转载请注明来自Cracer,本文标题:《提权》

喜欢 (3) 发布评论
发表评论


Top