通过IFEO劫持提权

Shell是双面大牛给的,一看是aspx的,先扫描下开启了什么端口

1433,3306,43958对应的MSSQL、MYSQL和Serv-U。
先来看看Serv-U是不是可以提权

提示:由于目标机器积极拒绝,无法连接。
问面面大牛,说是Serv-U服务暂停了,那这条路堵死了。下面来看看执行命令

居然自带的c:\windows\system32\cmd.exe不能执行,那咱们换个可读写的目录上传一个试试

然后再执行试试

然后继续systeminfo来看看

其实吧,重点是补丁信息

问面面大牛,他说补丁全满了。菜鸟不信,果断的多次测试,无果..发现面面大牛果然没有说错。

他突然说是有人日过了,我就看看留下什么蛛丝马迹没

居然还有隐藏的帐号,看来确实是被KO的惨了,经过多次尝试弱口令,和想象的一样,没有进去,话说RP确实是差到了极点。再说也没有那个大牛会留下这样的弱口令吧。既然都死了,那再看看1433了。


顺利的找到了配置文件。嘿嘿,还是mssql的,看来有希望啊,可是不是SA ,啊,麻烦了。管他的,连接去试试呗…

吐槽下,这人品,哈哈,其实RP也不差嘛,居然是SA,Microsoft SQL Server 2000。
那么来看看xp_cmdshell是不是存在,直接来增加xp_cmdshell组建


既然存在,那么就来直接执行命令呗..


xpsql.cpp: 错误5 来自CreateProcess(第737 行)
还真没有遇见过。搜索下.遇到这个困扰的,人还不少。原来。错误5是个系统提示的错误号,CreateProcess这个是创建进程的意思,这个错误产生和系统文件cmd.exe有很大的关系,一种情况是cmd被删除,一种是cmd的权限被降低了。
那貌似是路被堵死了,然后想起穿山甲上的执行命令的有两个组建。除了xp_cmdshell外还有sp_oacreate可以执行命令
用cmd替换sethc..


无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。然后一直删除了,再恢复后
但是 我再次 使用

无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。

原因我也没懂..搞了近乎一个下午。还是无果…

翻书的时候突然看见IFEO劫持…
既然我们是介绍IFEO技术相关,那我们就先介绍下: 一,什么是映像胁持(IFEO)? 所谓的IFEO就是Image File Execution Options 在是位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改

那就来玩一次IFEO劫持


没有出错…嘿嘿…
那我们来查看是否劫持成功


Debugger c:\windows\system32\cmd.exe
哈哈哈…居然成功了

呃…shift不行..


继续执行


继续执行来查看是否劫持成功


我郁闷,还是调不出来

在想是不是系统的被禁用了,于是调用自己上传的cmd


发现自己的也不行,就是弹不出来,然后面面牛封装了一个bat上去,发现添加用户也不成功。
然后面面大牛突提示:

那继续

然后执行查看


成功了,但是估计也那啥,不管了,先看看

期间尝试了资源管理器和任务管理都没有成功

各种蛋疼

还是没有成功

好吧,继续

然后查看


但是还是没有重新启动。一个晚上过去了,我还是没有搞定。
早上起来

咱们来膜拜下



好吧, 反正是拿下了..

91ri.org:这个方法之前小编有听过 但真正的文章是前两天逛90sec的时候发现的 感觉还不错 是一个思路,不敢独享发出来让大家一起围观一下。如果想学习更多的提权知识可以参考我们的提权目录<<提权>>。

今天是中秋 小编在此代表91RI的全体成员祝大家中秋愉快!

本文作者:Author:Saline&双面人转自2cto由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注名出处!