本地搭建實驗環境時遇到了不少小問題

實驗環境2008 R2

寶塔搭建的IIS discuz3.2X

手動上傳shell

冰蝎連接

(ps:有表哥使用冰蝎的時候提示文件存在但是無法獲取密鑰，解決辦法，使用最新版本的冰蝎即可，具體詳情看更新日志)

連接上shell發現無法執行命令???

查看phpinfo原來是禁用了函數……幾乎能用的都禁用了

想想很奇怪，剛搭建的網站那就是是默認值，為啥平時日站不是這樣的，東查西查之后真的要好好感謝一下寶塔，太sweetheart了，部分默認禁用值截圖如下。

既然禁用了函數，那么我們本著沒有解決不掉問題的想法，百度！

雷神眾測公眾號的一篇文章總結的超棒！打call !!

第一趴,常規繞過，看了看phpinfo，就知道現在情況不常規。

第二趴，對不起，putenv不可用

第三趴，不支持

6-12都看了一遍，同理如上。

不得不說，總結的太好了，但是tm都不能用啊，寶塔牛逼啊，一劍封喉啊

饒頭……

問了問大佬們，又get一個解決方案，又可以繼續百度啦！！！

Emmm…不對，我不會溢出啊。

繼續百度查看一下Github的bypass全家桶？？？康康康康

直接飄紅

又試了幾個都是如此(畢竟禁用了函數)

這個時候一篇文章吸引了我(沒辦法了，只能看你了)

作者說

那我們就按照他的方法來做

可是留下的代碼好像不太行

最后找了暗月的提權工具，

可以正常使用了，選擇對應的版本，導出udf.dll文件

Ps：

MYSQL <5.1版本導出路徑：

C:udf.dll??? 2000

C:udf.dll 2003(有的系統被轉義，需要改為C:sudf.dll)

導出DLL文件，導出時請勿必注意導出路徑(一般情況下對任何目錄可寫，無需考慮權限問題)

MYSQL>= 5.1，必須要把udf.dll文件放到MYSQL安裝目錄下的lib\plugin文件夾下才能創建自定義函數

該目錄默認是不存在的，這就需要我們使用webshell找到MYSQL的安裝目錄，并在安裝目錄下創建lib\plugin文件夾，然后將udf.dll文件導出到該目錄即可。

之后我們可以成功執行命令

Ps：親測添加管理員數據庫會down，表哥們實際環境注意安全。

看了看也是只能簡單運行sys_eval

這就很撓頭呀，難道我要上服務器把寶塔的設置關掉嘛(當作無事發生)

想了想用CS反彈出來再康康吧

服務器powershell普通管理員權限執行

意外發現可以無限制執行命令(其實搗鼓了好一會==，開始用的3.13/3.14都不可以執行，最后嘗試了4.1版本發現可以執行)

Mimikatz查看密碼

？？？？看下本地情況

本地服務器加域之后沒有域管理員密碼無法直接創建用戶的額==

雖然本次實驗有很多bug的地方(比如知道了root密碼啥的)，不過其中有些思路覺得值的記錄一下。(雖然到這里本來想做的實驗一步都沒做==，完全為了突破環境限制)，因為要繼續做實驗，記錄的比較凌亂，表哥們各取所需，有遇到類似情況的也可以私聊討論。