一次簡單但又完整的先拿shell后提權(quán)的經(jīng)歷

前一段時間看到了易趣購物網(wǎng)站爆出了注入漏洞钧惧，注入的關(guān)鍵字是關(guān)鍵字：

inurl:Price.asp?anid=，結(jié)合系統(tǒng)本身的后臺數(shù)據(jù)庫備份生成目錄可以自定義漏洞慕匠，輕松可以通過備份xxx.asp的目錄，然后上傳后綴為jpg的一句話木馬，菜刀連之即可得到shell。

但是如果是這樣我也不會再寫此文，在這些購物網(wǎng)站中杆故，數(shù)據(jù)最重要的當(dāng)屬減肥豐胸等等網(wǎng)站數(shù)據(jù)迅箩，而且這些網(wǎng)站在優(yōu)化seo時，肯定設(shè)置的關(guān)鍵字也是減肥豐胸之類处铛，那么中文標(biāo)題之中必有此關(guān)鍵字饲趋，那我的想法就產(chǎn)生了拐揭，我的新的注入關(guān)鍵字產(chǎn)生了nurl:Price.asp?anid= intitle:減肥。

啊d掃描注入點奕塑，找到一個注入點http://www.xxx.com/Price.asp?anid=xxx,拿去跑表段字段即可堂污，不過也得注意表段是特有的Cnhww。我一般在滲透的時候龄砰，也會用jsky和御劍檢測站點盟猖，在我查看御劍的結(jié)果時發(fā)現(xiàn)了一個讓我欣喜的結(jié)果http://www.xxx.com/shell.asp，明白的一看便知是先人后門换棚，打開發(fā)現(xiàn)是一個小馬式镐，

（原有小馬一被我清除，此圖是后來補(bǔ)的）固蚤，復(fù)制大馬代碼保存娘汞，即得到shell。

掃描端口發(fā)現(xiàn)夕玩，網(wǎng)站開啟了

連接3389端口發(fā)現(xiàn)可以連接你弦，

嘗試簡單的命令猜解失敗后，決定重新利用shell燎孟。

查看服務(wù)器所支持的組件：

發(fā)現(xiàn)可以支持fso和wscript.shell禽作，欣喜往外，ipconfig缤弦，net user都支持领迈，查看了當(dāng)前的賬戶，有一個默認(rèn)的administrator管理賬戶碍沐。但是net user admin admin /add狸捅，沒任何反應(yīng)，net user發(fā)現(xiàn)并沒有添加賬戶成功累提，這里很納悶尘喝，決定換思路。把網(wǎng)站翻了個遍斋陪，發(fā)現(xiàn)了一個數(shù)據(jù)庫的鏈接文件朽褪。

通過代碼可知，這里數(shù)據(jù)庫使用了acess和mssql兩個无虚，mssql數(shù)據(jù)庫連接賬號和密碼都已知曉缔赠，何不利用數(shù)據(jù)庫連接器試一試，然后興奮的分別用了MSSQL連接器友题、SQLTools嗤堰、SQL查詢分析器分離版本，但皆以失敗而告終度宦，都拒絕連接不上,看來是防火墻對1433端口做了從外到內(nèi)的限制踢匣，悲哀告匠。。离唬。

就在這個時候后专，忽然想起來，啊d等軟件在mssql數(shù)據(jù)庫sa權(quán)限下输莺，皆有列目錄和執(zhí)行dos的權(quán)限戚哎，何不試試，然后用啊d執(zhí)行命令net user admin admin /add & net localgroup administrators admin /add模闲，但是好久都沒回顯建瘫，很卡的樣子，就又換了hdsi尸折，一舉成功啰脚。

注意這里建立admin是為了方便檢測新否已經(jīng)建立賬戶，要做一個好的后門实夹，是要做克隆賬戶的橄浓。

心情愉悅的3389連之，為了防止管理員net user查到新建的賬戶亮航，我建立了隱藏賬戶荸实，即是admin$,這種賬戶在cmd中時發(fā)現(xiàn)不了的，但是查詢用戶組還是一覽無遺缴淋。我當(dāng)時沒在意覺得沒什么准给，然后速度在日志查看器中刪除了所有日志，（這個我也不想重抖，不過好似沒法刪除單一的登陸記錄露氮，請大牛指點指點），正在這時钟沛，忽然事件查看器中多了一條登錄審核信息畔规，我一看管理員來了，嚇得我急忙注銷電腦恨统，灰溜溜的跑了叁扫。。畜埋。莫绣。

大約過了1個小時吧，我又重新登錄悠鞍，賬號還在对室，管理員確實很馬虎額，不過自己可不能再大意了，遂決定建立克隆賬戶软驰。

然后就用shell上傳aio.exe文件，竟然失敗心肪，然后用菜刀上傳也是失敗锭亏，真是無語∮舶埃看來是權(quán)限不夠慧瘤，忽然想到3389現(xiàn)在不是支持復(fù)制粘貼嗎？忽然覺得思路就是被逼出來的固该，

再然后在連接3389時锅减，在選項中選擇本地資源，然后再勾選磁盤驅(qū)動器伐坏，確定即可建立本機(jī)和遠(yuǎn)程服務(wù)器的磁盤映射怔匣。上傳上了aio.exe, ,然后在cmd命令,將光標(biāo)調(diào)制到aio.exe目錄下,輸入Aio.exe -Clone Administrator Guest test即是用guest克隆Administrator.密碼是test,

檢測克隆帳戶是否成功: Aio.exe -CheckClone

net user和查看用戶組都看不到克隆賬戶，注銷重新登錄服務(wù)器桦沉，用guset登錄每瞒，順利進(jìn)入系統(tǒng)，進(jìn)去即發(fā)現(xiàn)360提示我的aio.exe是病毒…好在當(dāng)時上傳時候沒禁用纯露，這里算是僥幸了剿骨，免殺才是王道。透過這里我們發(fā)現(xiàn)埠褪，克隆的賬戶不光隱藏的很深浓利，而且你會發(fā)現(xiàn)用戶組中自己正在使用的guest賬戶依然是禁止?fàn)顟B(tài)（有紅叉顯示），最重要的是進(jìn)入系統(tǒng)的界面钞速、權(quán)限和adminitrator完全一樣贷掖，只是密碼不一樣罷了。這種克隆賬戶的方法目前是最好的方法玉工，但是也不是說無懈可擊羽资，可以通過注冊表的查閱賬戶的sid來辨別。

轉(zhuǎn)入正題遵班，速度找到了mssql的目錄屠升，找到了數(shù)據(jù)庫，壓縮成rar格式狭郑，復(fù)制打算粘貼到本地腹暖，但是電腦卡住了，嘗試了好幾次皆是如此翰萨，網(wǎng)速和pc都不行額脏答，一想可以通過網(wǎng)站下載，遂將數(shù)據(jù)庫文件放到網(wǎng)站某目錄中，但是怪異的事情發(fā)生了殖告，在url中顯示不存在阿蝶，用菜刀連接網(wǎng)站，也不顯示存在此文件黄绩，通過shell發(fā)現(xiàn)了此文件羡洁，但是點擊不讓下載，說是缺少對象爽丹，暈死筑煮。

難道在這最重要的時刻要坑爹？腦子不停的旋轉(zhuǎn)粤蝎，忽的想起可以利用磁盤映射真仲，立即打開我的電腦，在下面打開映射的我的本地硬盤初澎，在兩個窗口之間秸应，通過拖曳的方法，終于文件傳送啟動了谤狡，5分鐘后灸眼，數(shù)據(jù)庫落到了我的硬盤之上。

至此所有的滲透結(jié)束了墓懂，整個過程其實很簡單焰宣，但是好多細(xì)節(jié)要是不注意，就很可能拿不服務(wù)器的捕仔，真是應(yīng)了前人說的那句匕积，細(xì)心決定滲透成敗，而且滲透中的運氣也是至關(guān)重要榜跌。

本文出自 “greetwin” 博客闪唆，請務(wù)必保留此出處http://greetwin.blog.51cto.com/6238812/1069803