logo|长春|吉林|制作|建设|开发|网站|网页|数据库|采集|修复|ASP|PHP|MUI|.NET|DW|OA|IIS|SEO|HTML|jQuery|API|JLASP

哈达波斯王|网站建设|网页制作|网页设计【官方网站】

知识文档

webshell控制目标详细解题思路

知识文档  2019年09月04日 16:49:51  哈达波斯王  

      我看见第六章的传送门上写着大大的两个字--提权!!

       在上一章中,我已经通过上传一句话马,用菜刀连接了上传的这个文件,从而得到了后台的部分权限。但是我试过,现在拥有的权限,还不能打开c盘中的文件。而C盘中的文件往往都是比较重要的,因此,我需要提升自己的权限,

       进入传送门后,发现这一章的网站仍然是之前看到过的那个。而这个网站的管理员cookie已经被我拿到,并且已经成功上传一句话马至服务器了,如下图。

01.jpg


       因此我直接来到了菜刀,进入了文件管理器视图,并试图点开C盘,如下图。

02.jpg


       进入c盘之后,一眼就扫到了flag.txt。这么简单吗?点开试试,如下图。

03.jpg


       但是并没有权限访问这个文件,这就很尴尬了。所以目标已经非常明确了--提升我的权限,让我能够访问C盘中的文件。那么怎么提升我的权限呢--命令行工具!cmd命令行自带了很多的系统指令,其中包括添加用户/添加用户组等等,这不正好合适吗?我添加一个自己的用户身份,然后把这个用户添加到管理员组,再用这个用户去登陆服务器,不就有权限去打开flag.txt文件了,如下图。

04.jpg


       说干就干。我来到了菜刀初始页面,右键并打开了虚拟终端,进入了命令行,如下图。

05.jpg


       进入命令行之后,我直接输入了whoami指令,查看我当前的身份。但是却发现拒绝访问。这是为啥呢?因为命令提示符是在C盘的,但是C盘里的东西我不能访问。这可咋整!

06.jpg

       于是我又想起了老师提供的那个cmd.exe文件。我直接把这个文件传到服务器中我能访问的盘符不就可以用cmd了吗,如下图。

07.jpg


       经过测试,我发现E盘是可以上传文件的。因此我选择在E盘的RECYCLER文件夹下进行上传,如下图。

08.jpg


       选择cmd.exe进行上传,如下图。

09.jpg


       可以看到,文件正在上传,如下图。

10.jpg


       上传成功后,直接在这个文件上右键并打开虚拟终端,如下图。

11.jpg


       我再次输入whoami命令。这次果然有权限了,但是从返回结果看,我目前只是一个普通用户,如下图。

12.jpg


       然后我按照刚才的思路进行添加用户--pigking。但是又拒绝访问。

13.jpg


       这又是为啥?这是因为使用cmd需要用到外部接口wscript.shell。但是wscript.shell仍然在C盘,C盘我们仍然无法访问。这可怎么办?那么就只能再上传一个已经组装好的wscript.shell,也就是下图的iis6.exe。

14.jpg


       上传完成之后,如下图,我继续回到命令行界面。

15.jpg


       此时,我用cd命令切换到刚才上传文件的目录--E:\RECYCLER,如下图。

16.jpg


       然后我通过iis6.exe执行了whoami命令--iis6.exe "whoami"。然后,程序返回了很多信息,其中--this exploit gives you a local system shell,我从这句话中看出它已经给了我system的命令行权限,如下图。

17.jpg


       因此,我再执行同样的指令,以确定我现在的身份。现在我看到cmd正在以system权限执行这条指令,而我现在的权限已经变成了system,如下图。

18.jpg


       于是,我再次尝试通过--iis6.exe “net user pig 123 /add”添加pig用户,此时,这条命令就成功了,如下图。

19.jpg


       然后我用net user pig指令查看了pig用户的信息,发现它现在只是普通用户,所以我应该把它变成管理员用户才行,如下图。

20.jpg


       于是,我用iis6.exe "net localgroup Administrators pig /add"指令向管理员用户组成功添加了pig用户,如下图。

21.jpg


       再次查看pig用户,发现它已经再管理员用户组中了,如下图。

21.jpg


       既然我已经拥有了管理员用户,那么我就需要利用这个用户去搞事情。于是我想到了用远程桌面服务去连接这个网站的服务器,并用pig用户登陆。于是我打开远程桌面,并输入该网站的ip+port,但是却显示无法连接。远程桌面作为一个程序,那么它一定占用了一个端口号。而ip+端口号表示的是域名,而这个端口号其实就是服务软件的端口号,ip表示的是这台服务器电脑,因此如果想和服务器上的远程桌面服务进行对接,那么肯定要把端口号换成它占用的的端口号。因此我们需要去获取端口号,如下图。

13.jpg


       于是我再次来当命令行,用tasklist -svc命令查看了这台服务器开启的服务,发现远程桌面服务termservice的pid是1588,如下图。

24.jpg


       然后我又使用netstat -ano查看了端口和连接状态,结果显示pid=1588所对应的端口号是3389,状态是正在监听,也就是说远程桌面服务的端口号是3389,并且它正处于监听状态,而就是说它是开着的,只要这个端口收到信息,它就能知道。但是下面还有一个1588,状态是正在通信,且外部地址不是0.0.0.0:0,估计是某个正在做这个靶场的同学,如下图。

25.jpg


       我回到远程桌面,将端口号改为了3389,如下图。

26.jpg


       哥们忙着做大事,直接忽略这个警告,如下图。

27.jpg


       此时,开始了连接,真是令人兴奋,如下图。

28.jpg


       连接成功!输入之前创建的用户名--pig,密码--123,如下图。

29.jpg


       此时,终于真正侵入了这台服务器,点开我的电脑,如下图。

30.jpg


       再点开C盘,答案近在眼前,如下图。

31.jpg


       yes!就是它--flag.txt,如下图。

32.jpg


       打开之后,熟悉的key出现了--zkz{F3ck_power_3y3stem}。

31.jpg


       最后,请必须打开任务管理器,以注销的方式离开,如下图。

34.jpg


网站首页 | 最新公告 | 漏洞修补 | 网站模板 | 知识文档 | 联系我们
Copyright © 2015 jlasp.com All Rights Reserved.
哈达波斯王|网站建设|网页制作|网页设计【官方网站】 版权所有
地址:吉林省吉林市昌邑区 联系QQ:383612004 联系人:董先生
未经本站授权,禁止复制或建立镜像
 ICP备案号:吉ICP备15000891号-1