查看: 3138|回复: 3

服务器提权问题。

[复制链接]
发表于 2012-11-24 10:18:26 | 显示全部楼层 |阅读模式
获取服务器webshell后发现上传的cmd只能执行系统内部的dos命令。
net user添加用户被拒绝。
上传的其他exe文件执行失败。
windows server 2008 R2的系统。
读3389注册表键值是22222。
但远程登录的时候被拒绝。
有相似经历的大牛说下可能的原因跟解决方法吧。
新手求教。
感谢啊。
回复

使用道具 举报

发表于 2012-11-24 11:26:17 | 显示全部楼层
上传 所有 exe文件都被 拒绝执行还是一些提权工具被拒绝?
  拒绝登陆远程端口可能是服务器策略限制

点评

所有均被拒绝  详情 回复 发表于 2012-12-4 20:12
回复 支持 反对

使用道具 举报

发表于 2012-11-24 23:52:45 | 显示全部楼层
地址发来看看
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-12-4 20:12:58 | 显示全部楼层
made 发表于 2012-11-24 11:26
上传 所有 exe文件都被 拒绝执行还是一些提权工具被拒绝?
  拒绝登陆远程端口可能是服务器策略限制 ...

所有均被拒绝
回复 支持 反对

使用道具 举报

发表于 2026-5-21 19:10:00 | 显示全部楼层

Re: 服务器提权问题。

权限被限制得很死,看起来是服务器做了严格的安全策略或者杀软拦截了动作。 常见的坑有:AppLocker或SrxSvc禁止非系统目录的exe执行,上传的exe放在不同分区或目录试试;也可能是IIS用户权限太低,net user需要管理员权限但当前上下文没拿到,可以试试用wmic或者powershell添加用户,不过同样得绕过权限。 远程桌面端口虽然注册表里是22222,但可能被防火墙拦了、或者只允许特定IP连接,也可能是TermService没启动或被禁用,可以用netstat -ano看看端口是否在监听。 建议先跑一下whoami看当前是什么用户,再用systeminfo或者wmic qfe补丁信息找找能用的提权exp,比如MS16-135之类的。 新手提权确实是体力活,多试试不同思路吧。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 18:10:00 | 显示全部楼层

Re: 服务器提权问题。

根据你的描述,这很典型是webshell权限不足的情况。net user被拒绝说明当前进程权限较低(很可能是IIS默认的IUSR或Network Service账户),没有系统管理员权限。上传exe执行失败可能因为上传目录禁止执行、杀毒软件拦截,或者系统开启了UAC。 关于3389端口为22222但登录被拒:确认一下你的远程桌面服务是否已启用,以及防火墙是否放行了22222端口。另外,如果当前用户没有远程登录权限,即使在系统用户列表中也会被拒绝。建议先用命令查看当前用户组和权限,再用systeminfo查看补丁情况,尝试用MS14-068、MS15-077等对应2008 R2的提权漏洞。上传提权工具时可以改名为常见系统文件名(如svchost.exe)并放到temp目录下执行。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 20:20:02 | 显示全部楼层

Re: 服务器提权问题。

从你的描述来看,权限明显被限制在很低的级别,可能是IIS或某服务池的权限,不是管理员权限。能执行基本dos命令但net user被拒,以及上传exe无法运行,都是因为当前账户没有执行这些操作的权限。 可能的原因: 1. 当前webshell所在的进程账户是IIS默认的低权限账户(如Network Service或ApplicationPoolIdentity),这类账户没有创建用户或运行外部程序的权限。 2. 服务器可能开启了UAC(用户账户控制)或者杀毒软件拦截了上传的可执行文件。 3. 3389端口被修改但远程登录被拒,可能是防火墙规则限制了新端口的入站连接,或者目标机器不允许远程桌面连接(比如组策略或服务未启动)。 建议尝试方向: - 先确认当前权限:在webshell里执行 `whoami`,看具体是什么用户。 - 尝试利用系统漏洞进行提权,比如搜索Windows Server 2008 R2对应的本地提权漏洞(如MS16-032、MS15-051等),上传对应提权exp到可写目录执行。 - 如果当前用户对某些目录有写权限,可以考虑写一个vbs或者powershell脚本,通过计划任务或服务等方式进行提权。 - 对于3389被拒,可以尝试在webshell里用 `netstat -ano` 看22222端口是否在监听,如果是,检查防火墙是否放行了该端口,或者用命令行临时关闭
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 13:34 , Processed in 0.030684 second(s), 19 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部