突破不支持php脚本进行mysql提权

09-11 20:20 首页 T00ls


0x1  提权前信息收集

1.菜刀是否可以执行cmd:



2.支持哪些脚本?

探测结果支持:aspx,不支持php(php直接原样输出代码!) —>aspx可以执行cmd


3.aspx的cmd权限:


4.系统版本:


5.开放端口情况:


21  80  135  445  1025  1030  3306  3311  3312   3313  5555–>3311-3313是kangle这个程序的端口,并且kangle程序的管理后台是php脚本的,为何站点不支持php呢?先放一放!5555未知端口,很有可能是远程端口

6.进程情况:



有云锁和360,防护软件倒是不少!细看teamservice的PID



返回netstat -ano看端口的PID


得出结论:没开3389!

7.ip探测:



8.目录探测:


servu和mysql可能能够利用!

9.思路总结:

思路1:network service+windows2003  –>pr秒杀!–>由于有云锁和360,失败可能性极大

思路2:servu提权—>servu的端口也可能是5555

思路3:mysql的root解密,用udf或者mof提权!

0x2  开始提权

思路1:



的确失败了!

思路2:


先探测一下服务,看看是不是有servu的服务,免得到头来白费劲


并未找到serv-u的服务!思路断了—>但是看见了mysql!

思路3:

由系统服务看到了这么一串代码:

"C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld" --defaults-file="C:\Program Files\MySQL\MySQL Server 5.1\my.ini" MySQL

百度后知道:
        这是将数据库和mysql主程序分离的手段,但是my.ini中一样暴露了mysql的数据路径:ps:搜索datadir就可以找到数据地址!


去找root密码吧!


        下载user.MYD成功解密了root的密码!但是问题来了,不支持php,我如何去连接mysql数据库呢?

思考方法:

1.asp大马—>我仔细看了一遍我有的asp大马,里面都只是支持mssql和access语句执行,并不支持mysql!

2.菜刀的数据库管理连接mysql数据库!结果如下:


3.寻找kangle的后台,在那里试试是否支持php!

0x3  踏上走向寻找kangle的道路–>因为我以前博客的空间是朋友用kangle搭建给我的,所以对kangle有所了解!

kangle后台存放于3312端口,页面如下:


这是我朋友博客的一个截图,通过这个截图可以看出,kangle的后台存放于一个vhost的文件夹下,翻翻目录:


找到了vhost了,并且将大马写入!访问目标站点的3312端口:


很有可能这个端口开放在内网!那好办,上lcx.exe将3312转发到我博客的服务器:


然后访问119.29.63.156的3312–>这里我博客的lcx将51的流量转发到了3312!ps:各位大牛高抬贵手,不要搞我博客哦,这里就不打码了!然后访问大马:


ok,访问到我的php大马了!进去执行命令:


可以执行命令,直接上udf提权


提升到system权限了,顺利加了用户


0x4  开3389

现在经过T00ls的前辈们的指导,我开3389已经轻车熟路了,很好办的:


貌似是失败了,看3389,的确没开!

换命令:
wmic RDTOGGLE WHERE ServerName=%COMPUTERNAME% call SetAllowTSConnections 1


这个命令在大马里面执行不了–>因为貌似这个大马过滤%,上次就是这种情况,只能反弹shell了!


反弹shell出了问题,额!到这里有点焦急了,因为怕直接用php大马的反弹连接反弹的shell不是system权限还是无法开启远程端口,先试试吧,不行了再想办法:



还好,反弹来的shell是system权限!


执行命令失败了!又翻了一下之前在论坛发的开3389求助贴,然后试了下另外一条命令:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f



操作完成,估计是开了吧!


3389开了,直接一个转发,就可以连接到目标服务器了!




首页 - T00ls 的更多文章: