由PHP168任意文件下载0DAY到服务器提权

核心提示： 8.尝试提升系统权限对于我来说并不满足于上面的成果，能够拿到网站最高权限才是王道，由PHP168任意文件下载0DAY到服务器提权(4)，用Webshell的目录浏览功能跳了下C盘目录，结果成功跳转，在我重复了n遍以后命令还是无法执行，我想应该是我放弃的时候了，不过没什么发现，查看一下D盘

8.尝试提升系统权限

对于我来说并不满足于上面的成果，能够拿到网站最高权限才是王道，用Webshell的目录浏览功能跳了下C盘目录，结果成功跳转，不过没什么发现。查看一下D盘，目录成功读出，在D盘我看到了Serv-U目录。如图9所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图9获取系统Serv-U路径等信息

我尝试着利用Serv-U添加一个密码用户名都为heart的用户。如图10所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图10使用Serv-U直接添加用户

9.使用udf提升系统权限

然而结果是命令一直没有完成。我想用系统命令查看一下用户是否加上，却发现命令仍然无法执行(我当时还以为Serv-U密码改了呢)。于是我便换了一条思路，开始用udf提权。首先用nc在本地本地监听5438端口，由于我是内网的，所以还要做一下端口映射。然后用Webshell自带的功能反弹Shell。如图11所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>　

图11利用udf提升权限

返回端口填nc监听的端口，IP用本地IP，这里最重要的是数据库密码，PHP168的数据库密码放在/php168/mysql_config.php文件里，还是利用任意文件下载漏洞将其下载到本地执行。令我失望的是，在我重复了n遍以后命令还是无法执行，我想应该是我放弃的时候了，毕竟PHP提权本来我就不在行。