Windows Server 2003提权实战教学文档

Windows Server 2003提权实战教学文档 0X01. 目标分析 1. 目标概述 目标系统：Windows Server 2003 主要任务：获取SYSTEM权限 Flag位置：C盘根目录下的flag.txt文件 初始入口：http://dl9k8005.ia.aqlab.cn/admin/Login.asp 2. 环境特点 中间件：IIS 6.0 已知漏洞：可利用IIS 6.0的历史漏洞进行攻击 前期准备：需要第三章获取的cookie信息 0X02. 后台登录 1. Cookie利用 关键Cookie： ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC 使用方法： 按F12打开开发者工具 进入"应用"(Application)选项卡 在Cookies部分添加上述键值对 刷新页面或点击"准备好了吗？"按钮 2. 后台功能分析 重点寻找文件上传功能点 检查是否有可执行文件上传接口 0X03. 获取Webshell 1. 文件上传漏洞利用 尝试直接上传图片文件（通常会被拦截或无法解析） 使用特殊后缀绕过： 推荐使用.cer后缀（IIS 6.0可执行此扩展名） 构造图片马（将恶意代码嵌入图片文件中） 2. Webshell连接 工具选择： 蚁剑（可能不稳定） 中国菜刀（更可靠） 连接验证：确认文件是否被成功解析执行 0X04. 权限提升 1. 权限分析 初始权限：通常为IIS用户权限（较低） 验证方法：尝试访问C盘根目录，确认无权限 2. 提权方法 利用IIS 6.0漏洞提权 ： 使用iis6.exe提权工具 命令示例： 创建新管理员用户 ： 创建用户： 提升权限： 验证用户： 3. 远程桌面连接 检查远程服务： 查看服务PID： tasklist -svc 确认TermService服务运行中（PID 2408示例） 检查端口： netstat -ano 查看3389端口是否开放 使用新建的管理员账号连接： 用户名：qwe 密码：123 4. 获取Flag 路径：C:\flag.txt 示例内容： zkz{F3ck_power_3y3stem} 5. 善后处理 注销当前会话：防止影响其他测试者连接 原因：Windows Server有最大远程连接数限制 0X05. 技术总结 1. 攻击链分析 信息收集（第三章获取Cookie） 后台登录（第四章） Webshell获取（文件上传漏洞） 权限提升（系统漏洞或添加管理员） 远程控制获取Flag 2. 关键技术点 Cookie利用 ：绕过认证直接进入后台 文件上传绕过 ：使用特殊后缀(.cer)绕过限制 IIS 6.0漏洞 ：历史漏洞利用提权 权限提升备选方案 ：当直接提权失败时，创建新管理员用户 远程桌面利用 ：Windows系统常见后门维持方式 3. 防御建议 及时更新中间件版本 严格限制文件上传类型 监控系统用户变更 限制远程桌面访问IP 定期检查系统异常进程 附录：常用命令速查 | 命令 | 功能 | |------|------| | whoami | 查看当前用户权限 | | net user [username] [password] /add | 创建新用户 | | net localgroup Administrators [username] /add | 添加用户到管理员组 | | net user [username] | 查看用户信息 | | tasklist -svc | 查看进程和服务对应关系 | | netstat -ano | 查看网络连接和端口信息 |