一次艰难服务器渗透提权

目标站是一家网站建设公司，拥有自己的服务器，用御剑初步扫描过，无SQL注入，通过扫描后台得到网站管理后台地址。

用默认帐号密码：admin顺利进入后台
 

点击设置，在上传类型中添加asp，通过图片上传功能上传Webshell

由于asp因为权限问题打不开，但是服务器支持php重新上传php webshell

在本目录上传cmd.exe但是system函数不能执行，于是尝试多次之后发现proc_open函数有执行权限

但是目前只能执行内部命令，pr等提权工具不能执行，通过netstat -an命令发现开放33899端口，感觉这个端口可能是3389端口，用远程桌面连接可以连接，此时可以连接3389并且能执行内部命令，于是开始提权找到mysql数据库的root的帐号密码，但是此用户没有systen32目录的访问权限，mysql5.0以上UDF提权要有systen32可写权限，执行dir命令，可以访问c盘用copy命令拷贝dll到system32目录，但是还是没能提权。此路又失败了，可能提权的经验太少，感觉mysql是利用不了了，想起用尝试用cmd.exe替换sethc.exe执行

copy /y %windir%\system32\sethc.exe %windir%\system32\bk_sethc.exe

copy /y 网站目录\cmd.exe %windir%\system32\sethc.exe

用33899连接服务器后连续按五次shift键跳出cmd窗口，本以为能执行命令添加帐户输入net user 提示拒绝访
 

用copy命令拷贝pr.exe到system32目录运行pr还是提示拒绝访问

此时感觉提权无果，在电脑里翻提权工具的时候想起shell.users提权工具，于是用copy命令拷贝到system32，由于网站权限问题3389上的cmd不能访问d盘，于是在webshell下执行copy命令拷贝这段提权的js到system32然后直接执行，成功添加用户test顺利进入服务器，在用ms的溢出工具得到administrator权限的用户。