记一次艰辛的提权过程

最后那个结果让我想起，以前的一次入侵也是如此。呵呵。大家一定要注意密码设置问题，以后添加管理的时候一定要加强壮一些的密码，否则自己都不知道自己是rp问题还是什么问题，走了很多弯路。

下午随便访问一个服装集团的网站，无意间发现网站后台的弱口令，于是稍微搞了下，webshell到手了（与主题无关，简单略过），这个服务器是某某科技的虚拟主机，可是我asp的webshell权限居然蛮大的，我兴奋了下：有戏了！

服务器是windows2000的系统，各个盘都可以访问，于是我一个盘一个盘的转悠，在c盘下看到了php文件夹，原来这服务器还支持php，不管怎样，php的权限应该比asp大吧，于是我上传了个php的webshell，开始想办法提权了。

一、 Serv-U提权：
我在服务器的M盘(管理员蛮有意思，D、E盘是光驱，C、M、N盘是本地磁盘)里的Program Files下发现了Serv-U，一看version，是6.0的，高兴了下，那还不轻松搞定…于是用webshell自带的Serv-U提权工具提权，显示如下图：

Recv: 200 EXEC command successful (TID=33).意思是成功了，可是命令下行下net user一下，却没有见到我应该看见的oldjun…

我无语了，难道说传说中RP有问题，再试了下，依旧显示成功却无效果…百度了下Serv-U提权，网上很多说不成功的都是因为版本问题或者就是Serv-U的默认管理密码被修改了，我这个版本肯定是满足的，难道默认密码被修改了（虽然webshell的回显告诉我是正确的）？

于是我把ServUDaemon.exe与ServUAdmin.exe下回来，用UltraEdit检查了下，可是密码确确实实是原始密码：

看来人品真的有问题，好运落不到我身上，再试了一次无果之后我决定放弃Serv-U，想其他办法了…

二、 mysql提权：
浪费了好长时间之后我决定不能吊死在一棵树上，这台服务器有mysql，只要有root权限，也是可以提权的啊，我去C盘winnt目录下看了下，发现了装mysql留下的配置文件：my.ini，于是得到了root的口令：

有了root口令，我还有早已准备好的mysql下提权的工具mysql.php，直接上传上去输入信息连接成功，接下来就简单啦，先导出udf.dll到C:\Winnt\下面。然后执行：
create function cmdshell returns string soname 'udf.dll'
提示成功后接着执行：
select cmdshell('net user oldjun oldjun /add')
返回成功：

接下来执行：select cmdshell('net localgroup administrators oldjun /add')同样返回完成。

一切OK后我习惯的net user了下，我傻眼了，居然还是原来的那几个用户…提权又失败了？难道我RP差到极端了？难道创建的cmdshell函数有问题，不能执行命令？NND的那几个帐户我越看越不顺眼，顺手执行了个（download是系统的一个帐户名）：
select cmdshell('net user download /del')

再回头net user一看，download用户果然没了，难道只能del不能add？我不信这个邪了，又换个用户名oldjun$试了下，依旧没效果，看来这个管理员功夫深厚啊…

当然，这么点困难难不倒我啦，既然有这么大的权限，我干什么不行啊…究竟是什么问题，待会就晓得啦。

三、 反向木马提权：
因为手头上没免杀的鸽子，于是找个黑防的Pcshare凑合凑合，配置好客户端aa.exe以后，上传到服务器的C盘，再在cmdshell中执行下，成功了：

几秒钟后，我的小肉鸡就上线了，我迫不及待的打开超级终端，输入：
Net user oldjun oldjun /add 后出现如下提示：

于是，我一下子清醒了，难怪这么多次显示成功却没成功，看来不是我人品不济啊，再试试：

试了这么多次，终于成功了，这管理员也太变态了，不好好的设置服务器权限，居然在组策略里启用了“密码必须符合复杂性要求。”这分明是为难自己人么？那么长的密码不嫌难记啊:-)

什么是密码必须符合复杂性要求？组策略里有说明：
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略，密码必须符合下列最低要求:
不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。

总结：

一个下午的研究多少也有点收获…感觉要写点给大家，一是告诉大家提权不要吊死在一棵树上，条条大道通罗马；二是大家提权的时候一定得注意这些细节别急躁，不然本来的成功也变成失败啦；第三，对于系统的防护来讲，启用“密码必须符合复杂性要求。”还是蛮对的，至少可以防住一些菜菜…