危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18943188

怪异备份加艰难提权

今天群里一好友发过来一个后台,说是要服务器的权限,危险漫步听了就傻眼了,就一个后台,居然就要服务器权限,而且这后台还是人人都知道的如何进入。

估计稍微有点儿经验的人都知道,这后台存在严重的缺陷,使用“'or'='or'”就可以登录成功,我进入后台看了下,上传的地方没有被删除,备份也没有被删除,但是备份页面那里的提交钮却被去掉了。我们都知道,这个系统后台上传的地方采用的是动易上传的代码,存在上传漏洞,但是我这里并没有使用上传功能来上传webshell,而是采用了备份,不是为了卖弄技术,而是为了给大家提供一种思路,我在新闻添加那里上传了一个gif格式的大马上去,得到木马的路径,我们再来到备份的地方,可以看到提交钮没了。

既然没有提交按钮,那我们就给它添加一个,点击右键查看源代码,然后将其保存为本地的htm文件,保存完毕后使用记事本打开,可以看到是一个提交的表单,我们查找关键字“<form”就可以找到表单的位置,这里表单是以“</from>”结尾的,在表单域内添加如下代码<input type=submit value="确定">,当然这一过程也可以使用dreamweaver来实现。接下来就是补全提交的路径了,查找action,然后在“action=”后补全即可,修改完后保存,现在我们打开刚才保存的页面,接着点提交就可以得到一个webshell了,由于整站只有uploadfile可以写,所以我这里就备份到了这个目录。

通过webshell简单的看了下,发现一写常见的目录均不可以读,没有serv-u,也没有其它的第三方可以用来提权,没办法了,上传一个aspxspy看看,点击iisspy,发现竟然读取出了服务器上的所有站点和它相对应的路径。

我又读取了下服务器的进程,发现有一个tomcat6w的进程,也就是说服务器支持jsp解析,很有可能是svstem权限哦!于是我上传了一个jsp shell到根目录下,结果发现无法访问,我想这有可能是只有某个网站目录才支持jsp吧,正好可以读取出所有网站的目录,但是服务器上的站点有90个,我们当然不可能一个个的去读了,这里我猜想了下,服务器是提供空间服务的,也就是说,空间服务商会把客户的网站都存放在同一目录下,使用jsp的网站当然特殊了,所以我查看了一下目录与众不同的站点,终于被我找到了D:\SYSTEM\MailGroup\WWW\,于是急忙跳转到这个目录看了下,支持jsp的目录终于找到了,同时还发现该目录支持php,对应的域名也可以从aspxspy 中看到,我马上上传了一个jsp马上去,结果却发现没有权限,这下不好弄了,可能是权限不够,我们来整理一下思路,我们手里有aspshell、aspxshell,目录D:\SYSTEM\MailGroup\WWW\不可以写,那么我们只能找到这个目录所对应的网站的漏洞才有机会上传shell上去,仔细看了下这个满是希望的目录,竟然遇见了ewbeditor.php,而且使用的还是默认的用户名和密码,我立刻使用admin登录进去,然后在上传类型中添加了一个php,直接上传成功,相信大家都明白怎么使用ewebeditor php来拿webshell了吧,这里我就不多说了,不懂的朋友可以去百度下相关的文章,最后成功的拿到了webshell。

现在我们先来尝试执行一下命令,结果发现不能执行,说明php是继承的iis的权限,不过别忘了这个目录也是支持jsp的,上传个jspshell试试吧,上传成功。可以看到当前用户名为system,马上执行下cmd看看,也成功执行了。至此我们就成功的拿到了整台服务器的权限。

相关推荐