搜索
查看: 566|回复: 2

提权某站随记

[复制链接]
smallyang 该用户已被删除
发表于 2013-9-17 21:13:12 | 显示全部楼层 |阅读模式
拿一站源码,ASPX的,随便扫了下目录没发现什么可以利用的,就旁了下,找到个dedecms,使用exp拿到shell:

可惜php的权限太低,仅可以列当前目录,而且开启了安全模式:

不过先前看得目标站是aspx,网站目录下有aspnet_client文件夹,应该支持aspx,所以尝试上传aspx一句话上去,不过奇葩的时候网站根目录无可写权限,稍微尝试了下dedecms的data目录需要读写权限,所以可以将马上传到该目录。

使用aspx扫描可写目录找到"c:\documents and settings\all users\documents\my music\sample playlists\000d7417",不过我都是优先找路径没有空格的目录,不然执行命令会出现一些问题,上传iis6顺利提权:

当然一般到这里应该就结束了,不过下面我才是我主要想记录下来的内容,可能没多少技术含量,但是我感觉很实用。

1.当执行exp的参数中包含双引号的时候需要用"/"来转义:

比如我需要读取3389端口的时候,在参数中需要包含空格,所以得用双引号包含,这个时候就需要转义了,如下图:

2.au3也可以帮助你解决一些问题:

在上面我们顺利提权和找到了3389端口,下面我们只需要添加账户即可,但是很遗憾的时候禁止了net,net1命令(也可能是安全软件拦截了)。

我使用api添加账户,添加完毕之后顺利登录,期间我查看了当前用户发现administrator在线,吓我一跳,准备找个晚点的时间再来看看,之后我就想将用户销毁。

使用api添加用户工具顺利将用户删除,但是"c:\Documents and Settings\username\"该目录还存在,我尝试用exp执行rd /s /q来删除,发现无法删除。

这个时候我就想用au3写一个脚本编译成exe来删除(当然你也可以用其它类似方法),代码如下:

FileRemoveDir, c:\Documents and Settings\username\, 1上传顺利解决该问题,当然这只是一篇随记,中间或许没有多少技术含量,但是总会有人需要其中运用的技巧。​
854955425 该用户已被删除
发表于 2013-9-18 00:22:06 | 显示全部楼层
好好 学习了 确实不错
854955425 该用户已被删除
发表于 2013-9-18 01:35:05 | 显示全部楼层
我是个凑数的。。。
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表