【实战】一次艰难的***提权，成功拿下服务器

        前言：这是在51CTO的第10篇文章，给大家来点给力的哈~这次的***检测在提权反弹连接上遇到了很多问题，让窝娓娓道来。

        

        Let's Go!

 

        一，对目标网站的信息收集。

        http://www.XXXXX.cn  IP：122.225.XX.XXX [浙江省嘉兴市 电信] 

        Server OS : Microsoft Windows NT 5.2.3790 Service Pack 2（xp || win server 03 sp1 or sp2）
        Server Software : Microsoft-IIS/6.0    Web脚本:aspx        同IP无其他站点，旁注就算了

 

        二，通过网站后台登陆处设计缺陷性直接 admin' or '1'='1 拿下，也可以注入，但这样简单点，然后登陆后台上传aspx的webshell。怎么拿webshell，以后抽空写。

 

        三，登陆webshell。这里有上传了3种webshell，方便使用。同时确认主机开放端口，内网地址，当前登陆账户的权限，远程桌面服务的真正端口，服务器版本为windows server 2003 。来进行下一步操作。

        1521：oracle数据库  4899：radmin 3389：管理员不变态的修改的话就是远程桌面了

 

         

        四，看起来太好提权了，实际不是滴，查看服务器的补丁，pr，巴西烤肉，server内核溢出等提权漏洞全部打补丁了。。。好像iis6提权没补丁，试一试，上传iis6.exe到可读写目录。

        同时关掉主机的端口过滤。

        iis6提权开始，一直到最后一刻都很顺利，直到……

        需要的wmiprvse.exe找不到，查看进程，它存在，可是当前账户权限过低，没啥kill这个进程并重启找对应PID。。。失败。换个思路继续。

 

        五，oracle数据库国内资料太少，但我还是尝试了好多种方法。服务器和数据库没有分离，找到web.config下载，然后远程登陆，准备利用oracle的漏洞试一试。

        可能是网络原因，连接很不稳定，只能放弃。然后又尝试metasploit直接搞，搞主机，搞oracle，还是不行。继续。

 

        六，思路回到本地提权再试一试。利用某个最新的本地提权漏洞，搞定！这里开始纠结了很久，因为没有回显，添加不上管理员。然后 猥琐的思路 来了，如下图 ↓↓↓↓↓↓ 

          成功添加管理员账户，搞安全一定要思路那啥~嗯

 

        七，远程连接走起。什么鬼。果然拒绝我的IP连接，没事，内网端口转发试试。

 

        八，lcx走起，结果……本地nc监听不到反弹的连接，无语了我。。。又想了一会儿，决定上传reDuh转发。这货怎么用，后面抽空写。lcx，nc的用法前面我写过了，需要的可以自行查阅。

本地客户端连接服务端，同时nc监听1010端口。

ok了，转发了。

 

        九，打开远程桌面，开始连接。

        成功，服务器拿下，累死窝 呼呼~~~

 

        十，输入刚才创建的管理员账户，密码登陆即可。

 

        TIPS：我为啥没登进去截个图嘞~很多事嗯，各种痕迹清除又得折腾人，咱又没不良动机，学习技术是关键哈~

 

 

 

 

 

 

转载于:https://blog.51cto.com/zerosecurity/1615054