.在shell路径这一栏里输入服务器端cmd.exe对应的绝对路径,这里用我们刚刚上传上去的smallchao.exe
8.WINDOWS常见命令:
net user 查看所有用户
query user 查看当前运行中的用户
net user 用户名 密码 修改用户密码
net user 用户名 密码 /add 添加用户
net user 用户名 密码 /active 激活用户
net localgroup administrators 用户名 /add 添加管理员组
在上一章中,我已经通过上传一句话马,用菜刀连接了上传的这个文件,从而得到了后台的部分权限。但是我试过,现在拥有的权限,还不能打开c盘中的文件。而C盘中的文件往往都是比较重要的,因此,我需要提升自己的权限,如下图。
进入传送门后,发现这一章的网站仍然是之前看到过的那个。而这个网站的管理员cookie已经被我拿到,并且已经成功上传一句话马至服务器了,如下图。
因此我直接来到了菜刀,进入了文件管理器视图,并试图点开C盘,如下图。
进入c盘之后,一眼就扫到了flag.txt。这么简单吗?点开试试,如下图。
但是并没有权限访问这个文件,这就很尴尬了。所以目标已经非常明确了--提升我的权限,让我能够访问C盘中的文件。那么怎么提升我的权限呢--命令行工具!cmd命令行自带了很多的系统指令,其中包括添加用户/添加用户组等等,这不正好合适吗?我添加一个自己的用户身份,然后把这个用户添加到管理员组,再用这个用户去登陆服务器,不就有权限去打开flag.txt文件了,如下图。
说干就干。我来到了菜刀初始页面,右键并打开了虚拟终端,进入了命令行,如下图。
进入命令行之后,我直接输入了whoami指令,查看我当前的身份。但是却发现拒绝访问。这是为啥呢?因为命令提示符是在C盘的,但是C盘里的东西我不能访问。这可咋整!
于是我又想起了老师提供的那个cmd.exe文件。我直接把这个文件传到服务器中我能访问的盘符不就可以用cmd了吗,如下图。
经过测试,我发现E盘是可以上传文件的。因此我选择在E盘的RECYCLER文件夹下进行上传,如下图。
选择cmd.exe进行上传,如下图。
可以看到,文件正在上传,如下图。
上传成功后,直接在这个文件上右键并打开虚拟终端,如下图。
我再次输入whoami命令。这次果然有权限了,但是从返回结果看,我目前只是一个普通用户,如下图。
然后我按照刚才的思路进行添加用户--pigking。但是又拒绝访问。
这又是为啥?这是因为使用cmd需要用到外部接口wscript.shell。但是wscript.shell仍然在C盘,C盘我们仍然无法访问。这可怎么办?那么就只能再上传一个已经组装好的wscript.shell,也就是下图的iis6.exe。
上传完成之后,如下图,我继续回到命令行界面。
此时,我用cd命令切换到刚才上传文件的目录--E:RECYCLER,如下图。
然后我通过iis6.exe执行了whoami命令--iis6.exe "whoami"。然后,程序返回了很多信息,其中--this exploit gives you a local system shell,我从这句话中看出它已经给了我system的命令行权限,如下图。
因此,我再执行同样的指令,以确定我现在的身份。现在我看到cmd正在以system权限执行这条指令,而我现在的权限已经变成了system,如下图。
于是,我再次尝试通过--iis6.exe “net user pig 123 /add”添加pig用户,此时,这条命令就成功了,如下图。
然后我用net user pig指令查看了pig用户的信息,发现它现在只是普通用户,所以我应该把它变成管理员用户才行,如下图。
于是,我用iis6.exe "net localgroup Administrators pig /add"指令向管理员用户组成功添加了pig用户,如下图。
再次查看pig用户,发现它已经再管理员用户组中了,如下图。
既然我已经拥有了管理员用户,那么我就需要利用这个用户去搞事情。于是我想到了用远程桌面服务去连接这个网站的服务器,并用pig用户登陆。于是我打开远程桌面,并输入该网站的ip+port,但是却显示无法连接。远程桌面作为一个程序,那么它一定占用了一个端口号。而ip+端口号表示的是域名,而这个端口号其实就是服务软件的端口号,ip表示的是这台服务器电脑,因此如果想和服务器上的远程桌面服务进行对接,那么肯定要把端口号换成它占用的的端口号。因此我们需要去获取端口号,如下图。
于是我再次来当命令行,用tasklist -svc命令查看了这台服务器开启的服务,发现远程桌面服务termservice的pid是1588,如下图。
然后我又使用netstat -ano查看了端口和连接状态,结果显示pid=1588所对应的端口号是3389,状态是正在监听,也就是说远程桌面服务的端口号是3389,并且它正处于监听状态,而就是说它是开着的,只要这个端口收到信息,它就能知道。但是下面还有一个1588,状态是正在通信,且外部地址不是0.0.0.0:0,估计是某个正在做这个靶场的同学,如下图。
我回到远程桌面,将端口号改为了3389,如下图。
哥们忙着做大事,直接忽略这个警告,如下图。
此时,开始了连接,真是令人兴奋,如下图。
连接成功!输入之前创建的用户名--pig,密码--123,如下图。
此时,终于真正侵入了这台服务器,点开我的电脑,如下图。
再点开C盘,答案近在眼前,如下图。
yes!就是它--flag.txt,如下图。
打开之后,熟悉的key出现了--zkz{F3ck_power_3y3stem}。
最后,请必须打开任务管理器,以注销的方式离开,如下图。