Web安全之Windows提权

2016-08-27 本文已影响1085人 zksmile

提权方式：

          操作系统漏洞提权
               systeminfo
               查看修补的补丁编号
               PR               -pr.exe
               巴西烤肉
               IIS6溢出     -iis6.exe
               LPK劫持     -lpk.dll

windows 2003>>

     systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191
     KB2840221 KB3000061 KB2850851 KB2711167 KB2360937
     KB2478960 KB2507938 KB2566454 KB2646524 KB2645640
     KB2641653 KB944653 KB952004 KB971657 KB2620712
     KB2393802 KB942831 KB2503665 KB2592799 KB956572
     KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|
     @find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows
     \Temp\temp.txt

通用型>>

     systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280
     KB3143141 KB3134228 KB3079904 KB3077657 KB3124280
     KB3045171 KB2829361 KB3000061 KB2850851 KB2707511
     KB970483 KB2124261 KB2271195) do @type C:\Windows
     \Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /
     q /a C:\Windows\Temp\temp.txt

查看未补漏洞根据没有修补的补丁号码，到网上找利用程序进行利用

实例演示：
此实验环境为搭建环境，仅供学习参考交流。

拿到一个shell 之后查看对方服务器信息

Image.png

执行自带的cmd.exe发现不可用

Image.png

拒绝访问说明权限不允许，我们自己上传一个cmd.exe 上传目录的要求是：可读、可写、可执行

Image.png

asp 文件上传功能无法使用 ,由于服务器支持aspx 使用asp webshell 新建一个 aspx webshell 文件.一般aspx的权限都比较大。

Image.png

我们用新建文本功能在网站根目录下创建一个名字为 LWyeye.aspx 的aspx的webshell

Image.png

访问一下我们写入的 aspx　　webshell

Image.png

登录成功

Image.png

aspx 权限一般比较大。可以直接执行 Cmd.exe

Image.png

但是使用aspx 的shell 执行其他命令是一直网页一直卡死不动，因此我们尝试使用apsx上传一个 cmd.exe 然后使用asp 的webshell 执行命令

Image.png

可以看到可以我们上传的 cmd.exe可以使用了

Image.png

接下来我们执行检测补丁号的脚本

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt