1. 简介
在php里面有一个扩展是zend,这个是用解析php zend脚本加密文件。
如果服务器安装了zend,如果ZendExtensionManager.dll 权限可以修改,那就可以用其他dll替换这dll文件。即如果php装了Zend插件 就要查看这个目录的ZendExtensionManager.dll 是否可写,可写的情况下,就可以利用这个进行提权。
在phpinfo中查找zend,查看是否支持zend。
查找ZendExtensionManager.dll:C:\ZkeysSoft\Zend\ZendOptimizer-3.3.3\lib
上传wt.asp工具来检测目录的读写情况。
2. 提权工具
Zend_DLL_Hijacking.exe和Zend_DLL_Hijacking_for_nc.exe(nc正向连接)。
3. 提权过程
上传nc到靶机里面,打开zend_DLL_Hijacking_for_nc.exe,填写3个路径(靶机内,注意将原来的ZendExtensionManager.dll改名)和监听端口。然后把生成的dll上传到原来的文件夹内,并把名字改成ZendExtensionManager.dll。
上传成功后,本机开启端口监听,当iis6.0(或者其他)在启动的时候或者收回进程重启启动的时候有人访问网站的时候就会加载上传的dll文件。
我们可以自己重新访问网站,然后telnet 靶机:4444 连接shell