某个正在学习安全伙伴告诉我，他老师给他一个靶机让他提权，他不知道怎么下手，让我来试一下，那就试一下

 

 

 

知道网段ip没开机密码，他说这个靶机是这样的。

固定ip是 192.168.3.5

是个win2003r2的系统

 

那就先把虚拟机配置一下

 

 

 

 

 

 

 

 

加一个192.168.3.0网段的网络

把第一个网络适配器添加上VMnet2这个网络

 

 

 

 

 

 

 

 

 

然后在我的kali虚拟机上也添加VMnet2网卡

开机ifconfig看看

 

 

 

添加上了

然后ping一下看能不能ping通

 

 

 

 能通

 

用nmap简单扫下服务和端口

好多开放端口

有23端口但是没密码

有445端口用msf搞了一波似乎不行，可能打了补丁

 

 

 

 

 

 

 

上面有好几个站点， 随便选一个默认密码就进后台了

 

 

 

 

 

 

 

剩下直接拿shell行了

直接传一张图片马，他后台有个文件改名

 

 

 

 

 

 

 

 

通过抓包把文件类型改了，改成图片里面一句话马的执行类型，这个站是asp站，我传的是asp马，所以改的也是asp

ok

 

链接了上来

 

 

传了个msf马上来执行不了，没有权限

 

 

 

 

提权

尝试通过mssql数据库提权方法

在里面的代码文件找出数据库账号密码

 

 

 

 

账号:sa

密码：admin

看能不能链接

连上了

 

 

 

用 exec xp_cmdshell 执行命令

 

exec sp_configure 'show advanced options',1;

RECONFIGURE;

exec sp_configure 'xp_cmdshell',1;

RECONFIGURE;

 

 

 

 

 

 

 

 

exec xp_cmdshell 'netsh advfirewall set allprofiles state off';

关闭防火墙

exec xp_cmdshell 'net user';

查看用户

 

 

 

 

 

 

 

 

把账户密码改了

 

 

 

 

 

 

 

 

 

 

 

这下能登录进去了

 

 

 

 

只是administration权限，我需要最高的system权限

 

 

 

 

用SC提权方法

sc提权只适合老系统，xp win7 2003这些，其他系统有其他方法

sc Create sys binPath="cmd / c start" type= own type= interact

sc start sys

虽然提示失败1053 但是最高权限system窗口弹出来了