突破不支持PHP脚本进行MySQL提权

1.说明

本文首发T00ls,原本在博客上也有的,重建了博客,加上这次迁移博客到github上面,图片丢失了,图片全部从T00ls上面拿的。下面请欣赏故事!

2.提权前信息收集

2.1 菜刀是否可以执行cmd命令

2.2 支持哪些脚本

探测结果:

  • 支持aspx (aspx可以执行cmd)
  • 不支持PHP (直接原样输出代码)

2.3 ASPX中CMD的权限

2.4 系统版本

2.5 端口开放情况

开启的端口

21 80 135 445 1025 1030 3306 3311 3312 3313 5555

3312是kangle这个程序的端口,并且kangle程序的管理后台是php脚本的,为何站点不支持php呢?先放一放!5555未知端口,很有可能是远程端口

2.6 进程情况

服务器上面存在云锁 和 360 ,防护软件倒是不少!

再看下teamserivice的PID

返回netstat -ano 看端口的PID

结论:

  • 存在防护软件:云锁 、 360
  • 远程端口没开启

2.7 IP探测

2.8 目录探测

serv-U 和 MySQL可能能够利用!

2.9 思路总结

  • 思路1 : network service+windows2003 –>pr秒杀!–>由于有云锁和360,失败可能性极大
  • 思路2 : servu提权—>servu的端口也可能是5555
  • 思路3 : mysql的root解密,用udf或者mof提权!

3.开始提权

3.1 思路1

PR提权失败,其实到这里可以猜测到用EXP基本上都会失败,毕竟有两个杀软嘛。

3.2 思路2

先探测一下服务,看看是不是有servu的服务,免得到头来白费劲

并未找到serv-U的服务!

但是看到了MySQL的服务

3.3 思路3

由系统服务看到了这么一串代码:

"C:Program FilesMySQLMySQL Server 5.1binmysqld" --defaults-file="C:Program FilesMySQLMySQL Server 5.1my.ini" MySQL

百度了一下知道:

这是将数据库和mysql主程序分离的手段,但是my.ini中一样暴露了mysql的数据路径:ps:搜索datadir就可以找到数据地址!

去找root密码吧!

下载user.MYD成功解密了root的密码!但是问题来了,不支持php,我如何去连接mysql数据库呢?

3.4 思考方法

  • 1.aspx大马—>我仔细看了一遍我有的aspx大马,里面都只是支持mssql和access语句执行,并不支持mysql!
  • 2.菜刀的数据库管理连接mysql数据库!结果如下:

4.踏上走向寻找kangle的道路

因为我以前博客的空间是朋友用kangle搭建给我的,所以对kangle有所了解!

kangle后台存放于3312端口,页面如下:

这是我朋友博客的一个截图,通过这个截图可以看出,kangle的后台存放于一个vhost的文件夹下,翻翻目录:

找到了vhost了,并且将大马写入!访问目标站点的3312端口:

很有可能这个端口开放在内网!那好办,上lcx.exe将3312转发到我博客的服务器:

然后访问admintony.top的3312–>这里我博客的lcx将51的流量转发到了3312!ps:各位大牛高抬贵手,不要搞我博客哦,这里就不打码了!(现在博客地址是:admintony.com)然后访问大马:

ok,访问到我的php大马了!进去执行命令:

可以执行命令,直接上udf提权

提升到system权限了,顺利加了用户

5.开3389

现在经过T00ls的前辈们的指导,我开3389已经轻车熟路了,很好办的:

貌似是失败了,看3389,的确没开!

换命令:

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

这个命令在大马里面执行不了,因为貌似这个大马过滤%,上次就是这种情况,只能反弹shell了!

反弹shell出了问题 : 到这里有点焦急了,因为怕直接用php大马的反弹连接反弹的shell不是system权限还是无法开启远程端口,先试试吧,不行了再想办法:

还好,反弹来的shell是system权限!

执行命令失败了!又翻了一下之前在论坛发的开3389求助贴,然后试了下另外一条命令:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

操作完成,估计是开了吧!

3389开了,直接一个转发,就可以连接到目标服务器了!