昔日

超级详细的一次提权流程

r00tshell™-Team:

今天刚刚回到家 刚刚提到的服务器 于是乎就做一做文章给大家看看(没有什么技术含量 只是告诉大家一个思路)



系统的cmd是不能用了 自己找可写可执行权限的目录 (具体工具上传wt.asp 或者asp大马自带的目录权限检测工具)
这里我已经找到了可以执行cmd的目录



但是执行命令权限貌似很小 



就连 ipconfig 都执行不了
之后就是查看一下 环境 看看是否有人提过 查看一下管理员 net localgroup administrators (当 net 无法用就用 net1 还有当/add无法添加用户 就用/ad 个人经验 告诉大家)
可是执行不了 于是 就用 query user 查看当前在线管理员



到了这里 我们可以暂时 停下exp溢出提权思路 查看有什么第三方软件 (也就是扫端口)



得到 :
3306 (mysql默认端口) 43958 (serv-u默认端口)
现在先 试试serv-u提权



失败了 端口是默认的 密码修改了 具体43958提权 
http://www.t00ts.net/post-17.html (我以前做的文章)
现在找serv-u 安装目录 (教几个技巧 可以用注册表查找 也可以用 sc qc serv-u dos常用命令还是要背下来的)
现在教大家用注册表 找程序安装目录路径

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\  



还有mysql的安装目录



ok 第三方安装目录已经找到 现在就是找密码
先是
到serv-u安装目录  找到

D:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini

当然如果服务器设置了目录权限或者文件权限也是没有用的




得到密文 去cmd5网站解密 
如果解密失败 serv-u提权可以放弃了



serv-u提权失败了
前面不是还有mysql
路径:D:\Program Files\MySQL\MySQL Server 5.0\data\mysql\user.myd
下载 然后拼写root密文
这里可以看到是5.0版本的 (5.0版本的udf提权成功率很大)



拼写方法: root密码 是40位md5加密 找到 前 17位 339FA161778D05F8D 还有后面23位



得到密文 339FA161778D05F8D429BDCF77BADAACBB358F53



哎 运气有点差 只能exp溢出提权了
刚刚不是得到一个可以执行cmd的目录吗
D:\Program Files\Zend\ZendOptimizer-3.3.0\
errors.txt 是我改了后缀的cmd (这个习惯和别人学习的)



之前试了 有很多命令用不了 
现在上传常用提权exp
用iis6的时候提示这个



这个是可以突破的 现在来演示一下然后突破 (第一权限大的可以直接结束进程 但是刚刚看了很多命令都用不了所以这个方法用不了 还有是让服务器重启)




得到远程端口 54891
ok现在 用exp让服务器重启 没有exp的可以自行百度吧。百度很多。



直接服務器藍屏的東東帶用法(已測試成功的).zip
这个exp




成功了 服务器重启了 现在在继续用iis6溢出 (这个时候要速度点 因为wmiprvse.exe 是自动运行的 只是服务器重启关闭了一下)



成功添加了用户 也就是system权限 (还是抓哈希值把)
百度有破解哈希值的网站



服务器 拿下 

===========================================


作者过程写的很详细。。。。特此转载过来与大家分享。

评论

热度(6)

  1. 昔日r00tshell™-Team 转载了此文字
  2. h3arkJavan's blog 转载了此文字
  3. Javan's blogD ’ blog 转载了此文字
  4. D ’ blogr00tshell™-Team 转载了此文字