freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

宝塔disable functions函数全被禁命令执行+加域服务器如何无限制执行命令
2020-11-18 15:34:36

本地搭建实验环境时遇到了不少小问题

实验环境2008 R2

宝塔搭建的IIS discuz3.2X

手动上传shell

冰蝎连接

(ps:有表哥使用冰蝎的时候提示文件存在但是无法获取密钥,解决办法,使用最新版本的冰蝎即可,具体详情看更新日志)

下载地址:https://github.com/rebeyond/Behinder/releases/

连接上shell发现无法执行命令???

1605684150_5fb4cbb65a2283dd5acfb.png!small

查看phpinfo原来是禁用了函数……几乎能用的都禁用了

想想很奇怪,刚搭建的网站那就是是默认值,为啥平时日站不是这样的,东查西查之后真的要好好感谢一下宝塔,太sweetheart了,部分默认禁用值截图如下。

1605684342_5fb4cc7647a081e1139e9.png!small

既然禁用了函数,那么我们本着没有解决不掉问题的想法,百度!

雷神众测公众号的一篇文章总结的超棒!打call !!

第一趴,常规绕过,看了看phpinfo,就知道现在情况不常规。

1605684359_5fb4cc87a9fcdd51fcdc3.png!small

第二趴,对不起,putenv不可用

1605684366_5fb4cc8e93c94664789e4.png!small

第三趴,不支持

1605684371_5fb4cc93aac5b04177073.png!small

1605684422_5fb4ccc6bf46fbb2f64b5.png!small

6-12都看了一遍,同理如上。

不得不说,总结的太好了,但是tm都不能用啊,宝塔牛逼啊,一剑封喉啊

饶头……

问了问大佬们,又get一个解决方案,又可以继续百度啦!!!

1605684436_5fb4ccd42ddcae8eeddfd.png!small

Emmm…不对,我不会溢出啊。

继续百度查看一下Github的bypass全家桶???康康康康

1605684450_5fb4cce269c072d1aced1.png!small

直接飘红

1605684490_5fb4cd0a124cfd56180f7.png!small

又试了几个都是如此(毕竟禁用了函数)

1605684493_5fb4cd0dddd3876d54f11.png!small

这个时候一篇文章吸引了我(没办法了,只能看你了)

1605684497_5fb4cd1178cff18bd638d.png!small

作者说

1605684547_5fb4cd430f846a1fc34ca.png!small

那我们就按照他的方法来做

1605684555_5fb4cd4b469ec62bdb99d.png!small
可是留下的代码好像不太行

最后找了暗月的提权工具,

可以正常使用了,选择对应的版本,导出udf.dll文件

1605684562_5fb4cd523622b1d8bade2.png!small

Ps:

MYSQL <5.1版本导出路径:

C:udf.dll    2000
C:udf.dll 2003(有的系统被转义,需要改为C:sudf.dll)

导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题)

MYSQL>= 5.1,必须要把udf.dll文件放到MYSQL安装目录下的lib\plugin文件夹下才能创建自定义函数

该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录即可。

之后我们可以成功执行命令

1605684603_5fb4cd7b1a063ffbb2c34.png!small

1605684619_5fb4cd8b5a551e3eb1f20.png!small

Ps:亲测添加管理员数据库会down,表哥们实际环境注意安全。

看了看也是只能简单运行sys_eval

这就很挠头呀,难道我要上服务器把宝塔的设置关掉嘛(当作无事发生)

想了想用CS反弹出来再康康吧

1605684649_5fb4cda92c9d9b68d3b87.png!small

1605684653_5fb4cdad61793193149ae.png!small

服务器powershell普通管理员权限执行

意外发现可以无限制执行命令(其实捣鼓了好一会==,开始用的3.13/3.14都不可以执行,最后尝试了4.1版本发现可以执行)

1605684666_5fb4cdbabc1629ebe8896.png!small

1605684677_5fb4cdc5747802c4724a5.png!small

Mimikatz查看密码

1605684682_5fb4cdca1f8e7cba184f5.png!small

????看下本地情况

1605684688_5fb4cdd0e8adc24e5533f.png!small

本地服务器加域之后没有域管理员密码无法直接创建用户的额==

虽然本次实验有很多bug的地方(比如知道了root密码啥的),不过其中有些思路觉得值的记录一下。(虽然到这里本来想做的实验一步都没做==,完全为了突破环境限制),因为要继续做实验,记录的比较凌乱,表哥们各取所需,有遇到类似情况的也可以私聊讨论。

# 绕过域控服务器
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者