Title:关于星外服务器的进一步渗透
    Writed:cy
    Blog:www、c3389、com

    前提:提权之后获得服务器权限,确定为星外主控端。

    群里一个朋友丢来个星外的服务器让提权,淫荡的上去提了下来,发现是星外主控的服务器,经过多次蛋疼之后,把服务器给xxoo,其实也就是找可写,接下来就有了本文!

    星外的服务器大家都不陌生,权限设置的有点小变态。

    回答一些朋友的疑问:

        问:好像星外都不可以外联。内联我成功过,不过权限很低,不知道是否可以读取到你所说的表。你是本地测试的吧。

        答:星外不可以外联可以内联,权限是sa用户,只是删除了执行过程中的函数,获取到星外的管理账号和密咱们可以在其他服务器新开一个空间或者找到其他用户的空间,传个shell,然后用在表中找到的sa密码连接这样就算是内联。

    首先,咱们登录服务器。打开IIS管理,点描述排下顺序,找到主控网站。

关于星外虚拟主机服务器的进一步渗透

    右键打开,进入 FreeHostMain 文件夹(默认是FreeHostMain),找到Global.asa文件,打开之后会看见如下代码:

<SCRIPT LANGUAGE=VBScript RUNAT=Server>
Sub Application_OnStart
SQLPassword="abcd1234"'为了安全,请修改数据库的登陆密码为您自己的密码,这个密码可以在SQL2000企业管理器--安全性--登陆--FreeHost用户属性中设置。

    这就是星外的数据库管理密码,默认账号=FreeHost,密码=abcd1234,然后用查询分析器连接。Mssql 软件自带的有,开始,程序 Microsoft SQL Server 查询分离器。

关于星外虚拟主机服务器的进一步渗透

    找到 FreeHost 数据库之后打开用户表。

关于星外虚拟主机服务器的进一步渗透

serverlist 为虚拟主机服务器列表
serversqllist 为数据库服务器列表
serverVPSlist 为VPS被控列表

关于星外虚拟主机服务器的进一步渗透

servernam 为主机名称
site 为站点
softtype 为数据库类型
IP 为IP
admpass 为数据库密码

    接下来继续找表 FreeHost_Admuser,这个是星外的后台管理表段,密码是 md5 加密。

关于星外虚拟主机服务器的进一步渗透

    Freehost 是系统默认账号,然后咱们在回到IIS管理,右键主控网站选属性。

关于星外虚拟主机服务器的进一步渗透

关于星外虚拟主机服务器的进一步渗透

    默认80端口,咱们就打开服务器的ip比如:123.123.123.123,则 123.123.123.123:80 就是主控网站,默认管理后台是adm,管理后台地址就是:http://123.123.123.123:80/adm

关于星外虚拟主机服务器的进一步渗透

关于星外虚拟主机服务器的进一步渗透

    登录以后点击,自助管理,主机管理,然后找个空间传个 shell,sa 提权,Asp、Aspx 都行。

    传好之后登录 shell,输入刚才的那个IP的服务器的SA密码,然后继续。

关于星外虚拟主机服务器的进一步渗透

执行:Exec master.dbo.xp_cmdshell 'net user'
提示:未能找到存储过程 'master.dbo.xp_cmdshell'。
再执行:Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

    然后,嘿嘿,权限就到手了。

关于星外虚拟主机服务器的进一步渗透

    Thanks by:IcBc TeAm friends