提权方式:
操作系统漏洞提权
systeminfo
查看修补的补丁编号
PR -pr.exe
巴西烤肉
IIS6溢出 -iis6.exe
LPK劫持 -lpk.dll
windows 2003>>
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191
KB2840221 KB3000061 KB2850851 KB2711167 KB2360937
KB2478960 KB2507938 KB2566454 KB2646524 KB2645640
KB2641653 KB944653 KB952004 KB971657 KB2620712
KB2393802 KB942831 KB2503665 KB2592799 KB956572
KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|
@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows
\Temp\temp.txt
通用型>>
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280
KB3143141 KB3134228 KB3079904 KB3077657 KB3124280
KB3045171 KB2829361 KB3000061 KB2850851 KB2707511
KB970483 KB2124261 KB2271195) do @type C:\Windows
\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /
q /a C:\Windows\Temp\temp.txt
查看未补漏洞 根据没有修补的补丁号码,到网上找利用程序 进行利用
实例演示:
此实验环境为搭建环境,仅供学习参考交流。
拿到一个shell 之后查看对方服务器信息
Image.png
Image.png
Image.png
执行 自带的cmd.exe发现不可用
Image.png
Image.png
拒绝访问 说明权限不允许,我们自己上传一个cmd.exe 上传目录的要求是:可读、可写、可执行
Image.png
Image.png
Image.png
asp 文件上传功能无法使用 ,由于服务器支持aspx 使用asp webshell 新建一个 aspx webshell 文件.一般aspx的权限都比较大。
Image.png
我们用新建 文本功能在 网站根目录下 创建一个名字为 LWyeye.aspx 的aspx的webshell
Image.png
访问一下我们写入的 aspx webshell
Image.png
登录成功
Image.png
aspx 权限一般比较大。可以直接执行 Cmd.exe
Image.png
但是使用aspx 的shell 执行其他命令是 一直网页一直卡死不动 ,因此我们尝试 使用apsx上传一个 cmd.exe 然后使用asp 的webshell 执行命令
Image.png
可以看到 可以我们上传的 cmd.exe可以使用了
Image.png
接下来我们执行检测 补丁号的脚本
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt
Image.png
我们使用 iis6.exe提权,使用 aspx上传 iis6.exe 并执行
Image.png
Image.png
接下来我们修改帮助账号为管理员 (不容易被发现)或者查看管理员 是否未注销 可以直接getpass
Image.png
创建一个新用户
Image.png
Image.png
添加用户到管理员组
Image.png
Image.png
提取管理员密码
Image.png
Image.png
