SQL注入篇：SQL 注入靶场练习【实例6】

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

 

SQL 注入靶场练习【实例6】

0x01 通过cmd命令提权

      根据实例5的演示，我已经通过上传一句话马，用菜刀连接了上传的这个文件，从而得到了后台的部分权限。但是我试过，现在拥有的权限，还不能打开c盘中的文件。而C盘中的文件往往都是比较重要的，因此，我需要提升自己的权限

      访问C盘，尝试打开任意文件

      点击C盘打开任意文件，提示我没有权限，那么我们就提升我的权限，让我能够访问C盘中的文件。

      那么怎么提升我的权限呢？我这里使用通过命令行工具提权！

      cmd命令行自带了很多的系统指令，其中包括添加用户/添加用户组等等，这不正好合适吗？我添加一个自己的用户身份，然后把这个用户添加到管理员组，再用这个用户去登陆服务器，不就有权限去打开flag.txt文件了，如下图。

注意：双击之后，发现我并没有权限去访问。因此，现在的目标就很明确了，我需要用过某些手段提权，才能查看c盘中的这个文件。而众所周知，命令行就是一个很好的提权工具，因为它自带了很多系统函数。我们可以通过添加管理员用户来获取该系统的最高权限

      菜刀初始页面，右键点击【虚拟终端】

      进入命令行之后，我直接输入了ipcinfig指令，查看我当前的身份。但是却发现拒绝访问。这是为啥呢？因为命令提示符是在C盘的，但是C盘里的东西我不能访问。

      cmd.exe传送门：http://www.manong5.com/101460694/

      pr.exe传送门：http://www.manong5.com/103986208/

      cmd.exe拒绝访问提权工具来提权

       上传成功后，直接在这个文件上右键并打开虚拟终端

        我再次输入whoami命令。这次显示有权限了，但是从返回结果看，暂时只是一个普通用户

      然后我按照刚才的思路进行添加用户--ce。又是拒绝访问。

      拒绝访问，因为使用cmd需要用到外部接口wscript.shell。但是wscript.shell仍然在C盘，C盘我们仍然无法访问。

      那么，我们再上传一个已经组装好的wscript.shell，也就是下图的iis6.exe。

      然后我通过iis6.exe执行了whoami命令--iis6.exe "whoami"。

      然后，程序返回了很多信息，其中--this exploit gives you a local system shell，这句话中看出它现在已是system的命令行权限，如下图。

      以system的身份,再执行之前--iis6.exe "whoami" 指令。cmd正在以system权限执行这条指令，而我现在的权限已经变成了system，如下图。 靶场在这里貌似又出问题了，MD。算了，直接截图好了，不能实践操作了

       于是，我再次尝试通过--iis6.exe “net user ce 123 /add”添加ce用户，成功执行

iis6.exe "net user ce 123 /add"

       然后我用net user ce指令查看了ce用户的信息，发现它现在只是普通用户，所以我应该把它变成管理员用户才行，能成功执行

iis6.exe "net user ce"

于是，我用iis6.exe "net localgroup Administrators ce /add"指令向管理员用户组成功添加了pig用户，能成功执行

iis6.exe "net localgroup Administrators ce /add"

再次查看pig用户，发现它已经再管理员用户组中了

 

0x02 提权成功，尝试远程连接

       已经创建了ce 管理员用户，那么我们利用远程连接服务，尝试连接这个网站的服务器，用刚刚创建的账号和密码登录。

      于是我打开远程桌面，并输入该网站的ip+port，但是却显示无法连接（用脑子想一下就是不行的，你网站指定的端口和远程连接服务的端口肯定是不一样的，那就需要我们去查看远程服务器连接的端口是哪个）。

      远程桌面作为一个程序，那么它一定占用了一个端口号。而ip+端口号表示的是域名，而这个端口号其实就是服务软件的端口号，ip表示的是这台服务器电脑，因此如果想和服务器上的远程桌面服务进行对接，那么肯定要把端口号换成它占用的的端口号。因此我们需要去获取端口号，如下图。

 

       继续回到菜刀，通过命令行，用tasklist -svc命令查看了这台服务器开启的服务，发现远程桌面服务termservice的pid是1588，如下图。

       然后我又使用netstat -ano查看了端口和连接状态，结果显示pid=1588所对应的端口号是3389，状态是正在监听，也就是说远程桌面服务的端口号是3389，并且它正处于监听状态，而就是说它是开着的，只要这个端口收到信息，它就能知道。但是下面还有一个1588，状态是正在通信，且外部地址不是0.0.0.0:0,估计是某个正在做这个靶场的同学，如下图。

       我回到远程桌面，将端口号改为了3389，如下图。

     连接成功！输入之前创建的用户名--ce，密码--123

      此时，终于真正侵入了这台服务器，点开我的电脑，如下图。

    当我们获取想要的信息后，切记必须要打开任务管理器，以注销的方式离开，要不然用户连接数可能会显示中断服务超过最大连接值，导致被发现，得不偿失。如下图。

 

参考链接：

               https://www.zkaq.org/t/1075.html

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---