宝塔面板Windows提权方法
本项目整理一些宝塔特性,可以在无漏洞的情况下利用这些特性来增加提权的机会。
写数据库提权
宝塔面板在2008安装的时候默认www用户是可以对宝塔面板的数据库有完全控制权限的:powershell -Command "get-acl C:\BtSoft\panel\data\default.db | format-list"
对于这种情况可以直接往数据库写一个面板的账号直接获取到面板权限,而在2016安装默认是User权限可读不可写
这种情况可以从里面读取一些敏感信息,比如mysql的root密码,而一般这个配置的不会只有这个文件可读,可以使用其他方法。
盐: [A-Za-z0-9]{12}
密码: md5(md5(md5(password) + '_bt.cn') + salt)
可以直接使用bt_panel_script.py,脚本会自动新建一个账号。
API提权
宝塔面板支持API操作的,token在C:\BtSoft\panel\config\api.json,用这