本文稿费200软妹币
砸个广告:各位在网络安全方面有新创作的小伙伴,快将你们的心得砸过来吧~
文章以word形式发至邮箱:
minwei.wang@dbappsecurity.com.cn
有偿投稿,记得留下你的姓名和联系方式哦~
-START-
嗯,之前无聊在阿里云上面搭建了一个网站,后来发现国内服务器域名备案很麻烦,国外呢,服务器虽然免费,但是性能略逊,于是产生了这个很骚的思路,购买一个国外的虚拟主机,然后提权拿服务器权限(以下内容仅供学习使用,切记违法。)
原理:一般购买完成后 虚拟主机给你的是一个ftp的账号,这个ftp账号呢只能访问这台服务器里固定的一个文件夹,你访问不了这台服务器上其他站点的web目录。不过既然你可以通过ftp上传你站点的源码,那同理,webshell也可以上传,然后就是提权获取管理员权限。
实验步骤
首先登入ftp,可以看到自己文件夹下的内容web为自己站点的根目录
然后直接把shell扔上去
验证一下 至于我为什么上传了两个大马和小马
下面会说明原因
可以看到 小马和大马都生效了
权限被限制的很死
菜刀的cmd命令下 进不去D盘 被限制在的C盘下
这里却又进不去C盘 所以 在web路径下上传提权工具和菜刀里上传提权工具这条路就行不通了
这时需要我们的两个大马帮助,(为啥非要两个大马,还不是因为我大马功能不全!)
用shellA来扫描文件夹读写权限,发现有几个文件夹有读写权限。
用shellB来验证文件夹是否可以写入
可以看到 提权工具上传成功了
验证一下 已经是system权限了
建立管理员用户并加入管理员组
然后查看其远程端口
在cmd命令行输入:tasklist /svc
查看进程的PID,有很多个svchost.exe我们要看的是有Termservice服务那个,它对应的PID为2868
下面就是查看PID为2868对应的端口
输入命令:netstat -ano
这个5889就是远程桌面的端口了
尝试连接
成功登入
登入上去之后发现 所有盘符都不能打开
这里呢 右键盘符 换到安全标签 添加一个everyone用户组 给予完全控制权限
会弹出一个安全提示 点击是
然后可以访问了
找到我们上传的提权工具路径
这个要用右键已管理员身份运行
输入mimikatz.exe > 1.txt
这个1.txt代表 mimikatz输入的内容均保存在1.txt文件里
虽然cmd里没有回显 但是txt文档里已经返回了mimikatz的界面
Mimikatz使用命令就不多说了 就这两条 网上都有的
虽然cmd里面没有回显用户密码
但是1.txt里已经显示了该服务器上administrator的密码(为啥要显示在1.txt里而不直接在cmd里显示呢,因为服务器上有三四百个ftp的账号呢 都显示在cmd里 不好找administrator的)
最后就是 清理掉上传的工具 恢复原本文件夹的权限设置
Administrator登入成功~
-END-