一次簡(jiǎn)單但又完整的先拿shell后提權(quán)的經(jīng)歷

前一段時(shí)間看到了易趣購(gòu)物網(wǎng)站爆出了注入漏洞，注入的關(guān)鍵字是關(guān)鍵字：

inurl:Price.asp?anid=，結(jié)合系統(tǒng)本身的后臺(tái)數(shù)據(jù)庫備份生成目錄可以自定義漏洞，輕松可以通過備份xxx.asp的目錄，然后上傳后綴為jpg的一句話木馬，菜刀連之即可得到shell。

但是如果是這樣我也不會(huì)再寫此文，在這些購(gòu)物網(wǎng)站中，數(shù)據(jù)最重要的當(dāng)屬減肥豐胸等等網(wǎng)站數(shù)據(jù)，而且這些網(wǎng)站在優(yōu)化seo時(shí)，肯定設(shè)置的關(guān)鍵字也是減肥豐胸之類，那么中文標(biāo)題之中必有此關(guān)鍵字，那我的想法就產(chǎn)生了，我的新的注入關(guān)鍵字產(chǎn)生了nurl:Price.asp?anid= intitle:減肥。

啊d掃描注入點(diǎn)，找到一個(gè)注入點(diǎn)http://www.xxx.com/Price.asp?anid=xxx,拿去跑表段字段即可，不過也得注意表段是特有的Cnhww。我一般在滲透的時(shí)候，也會(huì)用jsky和御劍檢測(cè)站點(diǎn)，在我查看御劍的結(jié)果時(shí)發(fā)現(xiàn)了一個(gè)讓我欣喜的結(jié)果http://www.xxx.com/shell.asp，明白的一看便知是先人后門，打開發(fā)現(xiàn)是一個(gè)小馬，

（原有小馬一被我清除，此圖是后來補(bǔ)的），復(fù)制大馬代碼保存，即得到shell。

掃描端口發(fā)現(xiàn)，網(wǎng)站開啟了

連接3389端口發(fā)現(xiàn)可以連接，

嘗試簡(jiǎn)單的命令猜解失敗后，決定重新利用shell。

查看服務(wù)器所支持的組件：

發(fā)現(xiàn)可以支持fso和wscript.shell，欣喜往外，ipconfig，net user都支持，查看了當(dāng)前的賬戶，有一個(gè)默認(rèn)的administrator管理賬戶。但是net user admin admin /add，沒任何反應(yīng)，net user發(fā)現(xiàn)并沒有添加賬戶成功，這里很納悶，決定換思路。把網(wǎng)站翻了個(gè)遍，發(fā)現(xiàn)了一個(gè)數(shù)據(jù)庫的鏈接文件。

通過代碼可知，這里數(shù)據(jù)庫使用了acess和mssql兩個(gè)，mssql數(shù)據(jù)庫連接賬號(hào)和密碼都已知曉，何不利用數(shù)據(jù)庫連接器試一試，然后興奮的分別用了MSSQL連接器、SQLTools、SQL查詢分析器分離版本，但皆以失敗而告終，都拒絕連接不上,看來是防火墻對(duì)1433端口做了從外到內(nèi)的限制，悲哀。。。

就在這個(gè)時(shí)候，忽然想起來，啊d等軟件在mssql數(shù)據(jù)庫sa權(quán)限下，皆有列目錄和執(zhí)行dos的權(quán)限，何不試試，然后用啊d執(zhí)行命令net user admin admin /add & net localgroup administrators admin /add，但是好久都沒回顯，很卡的樣子，就又換了hdsi，一舉成功。

注意這里建立admin是為了方便檢測(cè)新否已經(jīng)建立賬戶，要做一個(gè)好的后門，是要做克隆賬戶的。

心情愉悅的3389連之，為了防止管理員net user查到新建的賬戶，我建立了隱藏賬戶，即是admin$,這種賬戶在cmd中時(shí)發(fā)現(xiàn)不了的，但是查詢用戶組還是一覽無遺。我當(dāng)時(shí)沒在意覺得沒什么，然后速度在日志查看器中刪除了所有日志，（這個(gè)我也不想，不過好似沒法刪除單一的登陸記錄，請(qǐng)大牛指點(diǎn)指點(diǎn)），正在這時(shí)，忽然事件查看器中多了一條登錄審核信息，我一看管理員來了，嚇得我急忙注銷電腦，灰溜溜的跑了。。。。

大約過了1個(gè)小時(shí)吧，我又重新登錄，賬號(hào)還在，管理員確實(shí)很馬虎額，不過自己可不能再大意了，遂決定建立克隆賬戶。

然后就用shell上傳aio.exe文件，竟然失敗，然后用菜刀上傳也是失敗，真是無語。看來是權(quán)限不夠，忽然想到3389現(xiàn)在不是支持復(fù)制粘貼嗎？忽然覺得思路就是被逼出來的，

再然后在連接3389時(shí)，在選項(xiàng)中選擇本地資源，然后再勾選磁盤驅(qū)動(dòng)器，確定即可建立本機(jī)和遠(yuǎn)程服務(wù)器的磁盤映射。上傳上了aio.exe, ,然后在cmd命令,將光標(biāo)調(diào)制到aio.exe目錄下,輸入Aio.exe -Clone Administrator Guest test即是用guest克隆Administrator.密碼是test,

檢測(cè)克隆帳戶是否成功: Aio.exe -CheckClone

net user和查看用戶組都看不到克隆賬戶，注銷重新登錄服務(wù)器，用guset登錄，順利進(jìn)入系統(tǒng)，進(jìn)去即發(fā)現(xiàn)360提示我的aio.exe是病毒…好在當(dāng)時(shí)上傳時(shí)候沒禁用，這里算是僥幸了，免殺才是王道。透過這里我們發(fā)現(xiàn)，克隆的賬戶不光隱藏的很深，而且你會(huì)發(fā)現(xiàn)用戶組中自己正在使用的guest賬戶依然是禁止?fàn)顟B(tài)（有紅叉顯示），最重要的是進(jìn)入系統(tǒng)的界面、權(quán)限和adminitrator完全一樣，只是密碼不一樣罷了。這種克隆賬戶的方法目前是最好的方法，但是也不是說無懈可擊，可以通過注冊(cè)表的查閱賬戶的sid來辨別。

轉(zhuǎn)入正題，速度找到了mssql的目錄，找到了數(shù)據(jù)庫，壓縮成rar格式，復(fù)制打算粘貼到本地，但是電腦卡住了，嘗試了好幾次皆是如此，網(wǎng)速和pc都不行額，一想可以通過網(wǎng)站下載，遂將數(shù)據(jù)庫文件放到網(wǎng)站某目錄中，但是怪異的事情發(fā)生了，在url中顯示不存在，用菜刀連接網(wǎng)站，也不顯示存在此文件，通過shell發(fā)現(xiàn)了此文件，但是點(diǎn)擊不讓下載，說是缺少對(duì)象，暈死。

難道在這最重要的時(shí)刻要坑爹？腦子不停的旋轉(zhuǎn)，忽的想起可以利用磁盤映射，立即打開我的電腦，在下面打開映射的我的本地硬盤，在兩個(gè)窗口之間，通過拖曳的方法，終于文件傳送啟動(dòng)了，5分鐘后，數(shù)據(jù)庫落到了我的硬盤之上。

至此所有的滲透結(jié)束了，整個(gè)過程其實(shí)很簡(jiǎn)單，但是好多細(xì)節(jié)要是不注意，就很可能拿不服務(wù)器的，真是應(yīng)了前人說的那句，細(xì)心決定滲透成敗，而且滲透中的運(yùn)氣也是至關(guān)重要。

本文出自 “greetwin” 博客，請(qǐng)務(wù)必保留此出處http://greetwin.blog.51cto.com/6238812/1069803