早在二个小时前,完成了这次有意思的提权,利用户是G6FTP。
前台拿Webshell就不说了,动易的后台,进去自定义页面编辑小马生成页面即可,重点是提权。
在服务器溜达无意中发现管理员使用的是G6FTP,打开RemoteAdmin目录的Remote.ini文件,可查到管理员32位MD5加密的密文,文本内容如下:
[Server]
IP=127.0.0.1,8021\r\n这个是本地管理IP和默认管理的端口,端口是可以修改的.
GrantAllAccessToLocalHost=0
[Acct=Administrator]管理帐户
Enabled=1
Rights=0
Password=76b1fe1104d891816c9d606eb13211ed管理帐户的密码
几秒钟的时间密码出来了,注意G6FTP的默认端口是不允许外链的,这个时候要用到HTRAN的端口转发功能,把默认管理端口转发到其他端口,然后进行连接,把8021端口转发到51端口..
本地事先也安装一个Gene6FTPServer软件.然后配置.
由于是某政府相关机构,这次的图要过滤一些敏感的信息,请大家不要对号入座了。
HOST那里输入你要提权的IP
PORT输入你用端口转发工具转发的端口,USERNAME和PASSWORD输入Gene6FTPServer的帐户配置文件所破解的帐号和密码信息,注意密码是MD5加密过的.必须输入明文的。
不出意外我们就可以连接上去了,我们可以新建一个普通的帐号,我这里建一个名为kipos密码为kipos的帐号然后选择好管理目录,然后我们在权限配置那里配置好权限.可以全部选上..
这样还不能提权,这里到了我们最核心的一步。
1.写一个能执行命令的批处理文件,并上传到目标主。
@echooff
netuserkiposkipos/add
netlocalgroupadministratorskipos/add
2.然后在SITECOMMANDS那个地方再进行配置.
COMMAND那输入你的命令执行的名字,我写的是HACKDESCRIPTTION这个是写描述的。这里随便你写什么都可以的。EXECUTE这里输入你的BAT的命令执行文件的路径.也就是你刚上传的那个文件的路径.点OK就可以了。本以为很轻松的将服务器给提权,没想到正当CMD下连接FTP时,新建的kipos帐号用不了。
*
* |