拿一站源码,ASPX的,随便扫了下目录没发现什么可以利用的,就旁了下,找到个dedecms,使用exp拿到shell: 可惜php的权限太低,仅可以列当前目录,而且开启了安全模式: 不过先前看得目标站是aspx,网站目录下有aspnet_client文件夹,应该支持aspx,所以尝试上传aspx一句话上去,不过奇葩的时候网站根目录无可写权限,稍微尝试了下dedecms的data目录需要读写权限,所以可以将马上传到该目录。 使用aspx扫描可写目录找到"c:\documents and settings\all users\documents\my music\sample playlists\000d7417",不过我都是优先找路径没有空格的目录,不然执行命令会出现一些问题,上传iis6顺利提权: 当然一般到这里应该就结束了,不过下面我才是我主要想记录下来的内容,可能没多少技术含量,但是我感觉很实用。 1.当执行exp的参数中包含双引号的时候需要用"/"来转义: 比如我需要读取3389端口的时候,在参数中需要包含空格,所以得用双引号包含,这个时候就需要转义了,如下图: 2.au3也可以帮助你解决一些问题: 在上面我们顺利提权和找到了3389端口,下面我们只需要添加账户即可,但是很遗憾的时候禁止了net,net1命令(也可能是安全软件拦截了)。 我使用api添加账户,添加完毕之后顺利登录,期间我查看了当前用户发现administrator在线,吓我一跳,准备找个晚点的时间再来看看,之后我就想将用户销毁。 使用api添加用户工具顺利将用户删除,但是"c:\Documents and Settings\username\"该目录还存在,我尝试用exp执行rd /s /q来删除,发现无法删除。 这个时候我就想用au3写一个脚本编译成exe来删除(当然你也可以用其它类似方法),代码如下: FileRemoveDir, c:\Documents and Settings\username\, 1上传顺利解决该问题,当然这只是一篇随记,中间或许没有多少技术含量,但是总会有人需要其中运用的技巧。​
|