用户
搜索
  • TA的每日心情
    奋斗
    2021-4-15 22:46
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    安全团队

    wiki.bylibrary.cn

    Rank: 7Rank: 7Rank: 7

    7

    主题

    26

    帖子

    439

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-10-31

    i春秋认证安全团队

    发表于 2021-3-24 10:11:52 814487
    本帖最后由 白泽Sec安全团队 于 2021-3-24 02:13 编辑

    本地搭建实验环境时遇到了不少小问题

    实验环境2008 R2

    宝塔搭建的IIS discuz3.2X

    手动上传shell

    冰蝎连接

    (ps:有表哥使用冰蝎的时候提示文件存在但是无法获取密钥,解决办法,使用最新版本的冰蝎即可,具体详情看更新日志)

    下载地址:https://github.com/rebeyond/Behinder/releases/

    连接上shell发现无法执行命令???

    查看phpinfo原来是禁用了函数……几乎能用的都禁用了

    想想很奇怪,刚搭建的网站那就是是默认值,为啥平时日站不是这样的,东查西查之后真的要好好感谢一下宝塔,太sweetheart了,部分默认禁用值截图如下。

    既然禁用了函数,那么我们本着没有解决不掉问题的想法,百度!

    雷神众测公众号的一篇文章总结的超棒!打call !!

    第一趴,常规绕过,看了看phpinfo,就知道现在情况不常规。

    第二趴,对不起,putenv不可用

    第三趴,不支持

    6-12都看了一遍,同理如上。

    不得不说,总结的太好了,但是tm都不能用啊,宝塔牛逼啊,一剑封喉啊

    饶头……

    问了问大佬们,又get一个解决方案,又可以继续百度啦!!!

    Emmm…不对,我不会溢出啊。

    继续百度查看一下Github的bypass全家桶???康康康康


    直接飘红

    又试了几个都是如此(毕竟禁用了函数)

    这个时候一篇文章吸引了我(没办法了,只能看你了)

    作者说

    那我们就按照他的方法来做


    可是留下的代码好像不太行

    最后找了暗月的提权工具,

    可以正常使用了,选择对应的版本,导出udf.dll文件

    Ps:

    MYSQL <5.1版本导出路径:

    C:udf.dll  2000
    C:udf.dll 2003(有的系统被转义,需要改为C:sudf.dll)

    导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题)

    MYSQL>= 5.1,必须要把udf.dll文件放到MYSQL安装目录下的lib\plugin文件夹下才能创建自定义函数

    该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录即可。

    之后我们可以成功执行命令


    Ps:亲测添加管理员数据库会down,表哥们实际环境注意安全。

    看了看也是只能简单运行sys_eval

    用CS反弹出来康康

    服务器powershell普通管理员权限执行

    意外发现可以无限制执行命令(亲测3.13/3.14都不可以执行,4.1版本是可以的)

    Mimikatz查看密码

    ????看下本地情况


    本地服务器加域之后没有域管理员密码无法直接创建用户的额==

    虽然本次实验有很多bug的地方(比如知道了root密码啥的),不过其中有些思路觉得值的记录一下。(虽然到这里本来想做的实验一步都没做==,完全为了突破环境限制),因为要继续做实验,记录的比较凌乱,表哥们各取所需,有遇到类似情况的也可以私聊讨论。

    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    发表于 2021-3-24 13:10:14
    需要相关工具可以评论留言获取
    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    使用道具 举报 回复
    谢谢白泽
    使用道具 举报 回复
    发表于 2021-3-24 16:20:17
    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    使用道具 举报 回复
    学习了,师傅感谢
    使用道具 举报 回复
    发表于 2021-3-26 09:23:25
    你这是 UDF提权, 跟php执行命令有毛关系???
    使用道具 举报 回复
    发表于 2021-3-26 10:01:42
    icq207df3d6 发表于 2021-3-26 01:23
    你这是 UDF提权, 跟php执行命令有毛关系???

    php执行命令?没写有关系啊
    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    使用道具 举报 回复
    发表于 2021-3-27 14:01:46
    不知道文章有点怪阿  环境是Windows的 但是你bypass的东西是基于Linux的绕过,而且现在宝塔建站有独立的mysql 基本不会出现root 而且这个也不是突破disable_function阿
    使用道具 举报 回复
    发表于 2021-3-28 14:28:19
    0xGm 发表于 2021-3-27 06:01
    不知道文章有点怪阿  环境是Windows的 但是你bypass的东西是基于Linux的绕过,而且现在宝塔建站有独立的mysq ...

    是很奇怪,该现象也是做实验偶然遇到的,过程一脸懵逼,做了个记录
    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册