iis6.0提权 一次艰难的入侵提权 - IIS - 服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > Web服务器 > IIS

iis6.0提权 一次艰难的入侵提权

发布时间:2017-04-15 来源:服务器之家

        前言:这是在51CTO的第10篇文章,给大家来点给力的哈~这次的入侵检测在提权反弹连接上遇到了很多问题,让窝娓娓道来。

        Let's Go!

        一,对目标网站的信息收集。

        Server OS : Microsoft Windows NT 5.2.3790 Service Pack 2(xp || win server 03 sp1 or sp2)
        Server Software : Microsoft-IIS/6.0    Web脚本:aspx        同IP无其他站点,旁注就算了

        二,通过网站后台登陆处设计缺陷性直接 admin' or '1'='1 拿下,也可以注入,但这样简单点,然后登陆后台上传aspx的webshell。怎么拿webshell,以后抽空写。

        三,登陆webshell。这里有上传了3种webshell,方便使用。同时确认主机开放端口,内网地址,当前登陆账户的权限,远程桌面服务的真正端口,服务器版本为windows server 2003 。来进行下一步操作。

        1521:oracle数据库  4899:radmin 3389:管理员不变态的修改的话就是远程桌面了

         

        四,看起来太好提权了,实际不是滴,查看服务器的补丁,pr,巴西烤肉,server内核溢出等提权漏洞全部打补丁了。。。好像iis6提权没补丁,试一试,上传iis6.exe到可读写目录。

        同时关掉主机的端口过滤。

        iis6提权开始,一直到最后一刻都很顺利,直到……

        需要的wmiprvse.exe找不到,查看进程,它存在,可是当前账户权限过低,没啥kill这个进程并重启找对应PID。。。失败。换个思路继续。

        五,oracle数据库国内资料太少,但我还是尝试了好多种方法。服务器和数据库没有分离,找到web.config下载,然后远程登陆,准备利用oracle的漏洞试一试。

        可能是网络原因,连接很不稳定,只能放弃。然后又尝试metasploit直接搞,搞主机,搞oracle,还是不行。继续。

        六,思路回到本地提权再试一试。利用某个最新的本地提权漏洞,搞定!这里开始纠结了很久,因为没有回显,添加不上管理员。然后 猥琐的思路 来了,如下图 ↓↓↓↓↓↓ 

          成功添加管理员账户,搞安全一定要思路那啥~嗯

        七,远程连接走起。什么鬼。果然拒绝我的IP连接,没事,内网端口转发试试。

        八,lcx走起,结果……本地nc监听不到反弹的连接,无语了我。。。又想了一会儿,决定上传reDuh转发。这货怎么用,后面抽空写。lcx,nc的用法前面我写过了,需要的可以自行查阅。

本地客户端连接服务端,同时nc监听1010端口。

ok了,转发了。

        九,打开远程桌面,开始连接。

        成功,服务器拿下,累死窝 呼呼~~~

        十,输入刚才创建的管理员账户,密码登陆即可。

        TIPS:我为啥没登进去截个图嘞~很多事嗯,各种痕迹清除又得折腾人,咱又没不良动机,学习技术是关键哈~