双击bat脚本执行自动注册或自动运行服务会很方便开发,但是在vista以上的系统经常需要以管理员权限来启动这个脚本,一般都是右键选择管理员权限运行,要是分发给其他人员测试的时候还要特地叮嘱下,要是bat能实现自动检测需要管理员权限,然后d出这个提权的申请框,在提权完成之后再进行工作就好了。
抱着这个需求,找到了stackoverflow,果然不负众望,有人给出了一个 解决方案 ,这里把这个bat脚本贴出来,给有需要的人士。
最近做了几个i春秋的靶场,从getshell到提权,练习的还是很全面的,这里主要对提权做个总结。
先从提权反推一下思路: 提权 -> 上传提权工具 -> 找上传点 -> 连接菜刀getshell -> 写入或上传一句话 -> 找到写入点或上传点
一句话的写入点或上传点大多都是在管理后台发现的,因为用户的权限较低,可以 *** 作的功能也较少,而且对于用户的输入或上传也有很严格的过滤机制,所以使用用户权限来写入或上传一句话的成功率很低。
那么就需要登录管理后台来写入或上传一句话,登录管理后台有两个条件: ①找到管理后台 。 ②拿到管理员账号和密码 (爆破也可以,但是成功率很低,这里就不多做讨论了)。登录进管理员后台后,就可以测试哪个地方可以利用,可以上传或写入一句话了。然后就是上面的一系列 *** 作,最后拿到flag。
拿我做的这几个靶场为例,首先打开浏览器看到页面,发现都是一些CMS,从页面信息可以知道CMS版本等信息,然后信息搜集看看这个版本之前有没有爆出过漏洞,如果有SQL注入最好,可以尝试通过注入拿到管理员账号、密码。当然也可以使用其他的方法,怎么猥琐怎么来。
然后扫描目录,如果管理员没有修改CMS的默认目录的话,管理后台还是很好扫出来的,如果修改过就比较困难了,就看你的字典强不强大了。当然也可以利用一些其他方法,比如信息泄露,如果是dedeCMS的话可以尝试访问 /data/mysqli_error_trace.inc 路径或 /data/mysql_error_trace.inc 路径,有可能会爆出后台路径。
拿到账号密码和管理后台路径后就可以登录后台了,然后寻找哪个地方可以执行一句话,比如上传图片马然后利用文件包含或解析漏洞执行一句话,或者试一下发表文章功能,试一下网站配置信息。反正姿势越猥琐越好。
拿到一句话的路径后可以连菜刀了,连上菜刀后由于权限问题,C盘一般是没有读写权限的,而大多数flag都放在C盘,所以我们就要找一个有上传文件权限的目录上传提权工具进行提权,这里着重总结两种提权方法。
利用 CVE-2009-0079 的漏洞,工具: Churrasco.exe + cmd.exe + 3389.bat ,其中 cmd.exe 是为了代替原服务器中权限受限的命令行交互环境,Churrasco.exe 是用于提权的漏洞利用工具,3389.bat 是打开 3389 端口及远程桌面服务的批处理脚本文件。
提权命令:
同样是利用 CVE-2009-0079 的漏洞,工具: pr.exe + cmd.exe + 3389.bat ,与churrasco类似,命令和churrasco提权命令一样,不过第一次输入命令会报错,再输入一遍就好了。
iis.exe 与前两者不同,是基于 CVE-2009-1535 漏洞的提权工具,工具: iis6.exe + cmd.exe + 3389.bat ,用法与前两种工具类似,第一次创建用户时也可能会报错,若创建失败,再次执行即可。
现在提权已经完成了,打开CMD输入 mstsc 启动远程桌面登录,输入目标ip和刚才创建的用户的登录账号密码就可以远程访问服务器了,然后进入C盘拿到flag即可。
参考链接:
【i春秋】渗透测试入门 —— 我很简单,请不要欺负我
Windows 7系统的默认账户虽然是管理员账户,但在很大程度上对于一部分系统关键文件的访问和修改权限还是没有,比如说在删除某一个文件时,就会提示:“您的权限不足,请点击继续来获得权限。”因此,在很大程度上,我们要开启administrator账户,即超级管理员账户来获得对计算机的最高权限。
1,对于一些程序文件来说,只需要你击右键,选择“以管理员身份运行”,也是一个非常便捷的获得管理员权限的办法。如图:
2,Windows 7系统中,administrator账户并不是默认开启的,那么就需要我们手动开启,这也不是很难的啦!对计算机图标,击右键,选择管理。
3,打开界面后,选择本地用户和组,单击用户,选择administrator账户即可。
4,打开,administrator账户之后,将账户已禁用前面的钩去掉后点击确定即可。这样,在开始登陆的界面,即可以出现administrator账户了,选择此账户即可获得管理员最高权限。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)