渗透某知名游戏代理商内网全程

四、荆棘丛丛的提权

进入webshell后发现webshell的权限比较大，能全盘浏览，cmd也能执行，但是不能加用户，应该是user权限。刚好我有点肚子疼，就叫神X月先搞，回来的时候他已经把webshell换了个比较隐蔽的目录。一般拿到webshell后的提权思路是找第三方软件，然后利用他们的漏洞来提权。所以我和神X月就开始找第三方软件，很高兴地发现了serv-u，版本为6.3，使用lake2的asp.net版su提权程序提权不成功，我以为是改了密码，于是打开servudaemon.ini文件找到su管理员的密码Hash后便开始用“su纯数字密码破解器”进行暴力破解，大约过了半个多小时，还是没有破出来，我无奈地放弃了这条路，再在Program Files翻了翻，发现这台服务器没有安装防火墙和杀毒软件，然后我用superscan扫了下webshell服务器的端口，发现只开了80和1433，原来serv-u没有启动，所以就算破了密码也没用。这时候对我的打击真的很大，因为之前做的居然都是无用功。

整理了一下思路，想到走MSSQL这条路可能会有突破，马上对整个硬盘进行了搜查，在找遍了所有web.config文件后，我一共找到了6个数据库库的密码，其中还有一个库是SA的权限，数据库信息如下：

我在webshell中用CMD执行了“ipconfig”命令，查看得到的IP为10.10.0.94，原来webshell服务器的MSSQL数据库权限就是SA。大家仔细看下数据库的信息，很容易就发现其规律：数据库的用户名为该数据库的性质，数据库的密码为Oc71022+IP最后的段+该数据库性质。
我用webshell中的数据库连接功能连接了10.10.0.94服务器，如图7所示。





发现xp_cmdshell被删了，还有N多有用的扩展被删了，本来还想用sandbox来执行命令，但是失败又一次无情地打击了我，再次郁闷ing.....如图8、9所示。





忽然我想，数据库会不会是mssql2005呢？记得bin写的最新asp.net木马支持MSSQL2005的XP_CMDSHELL恢复，马上从网上下了个传到服务器上，连接好后执行恢复xp_cmdshell功能，居然成功了！！直接上传一个免杀的上兴服务端，用xp_cmdshell命令执行上兴的服务端，服务器成功上线了！！

上一页  [1] [2] [3] [4] 下一页