通过IFEO劫持提权

Shell是双面大牛给的，一看是aspx的，先扫描下开启了什么端口

1433，3306，43958对应的MSSQL、MYSQL和Serv-U。
先来看看Serv-U是不是可以提权

提示：由于目标机器积极拒绝，无法连接。
问面面大牛，说是Serv-U服务暂停了，那这条路堵死了。下面来看看执行命令

居然自带的c:/windows/system32/cmd.exe不能执行，那咱们换个可读写的目录上传一个试试

然后再执行试试

然后继续systeminfo来看看

其实吧，重点是补丁信息

问面面大牛，他说补丁全满了。菜鸟不信，果断的多次测试，无果..发现面面大牛果然没有说错。

他突然说是有人日过了，我就看看留下什么蛛丝马迹没

居然还有隐藏的帐号，看来确实是被KO的惨了，经过多次尝试弱口令，和想象的一样，没有进去，话说RP确实是差到了极点。再说也没有那个大牛会留下这样的弱口令吧。既然都死了，那再看看1433了。

顺利的找到了配置文件。嘿嘿，还是mssql的，看来有希望啊，可是不是SA ,啊，麻烦了。管他的，连接去试试呗…

吐槽下，这人品，哈哈，其实RP也不差嘛，居然是SA，Microsoft SQL Server 2000。
那么来看看xp_cmdshell是不是存在，直接来增加xp_cmdshell组建

既然存在，那么就来直接执行命令呗..

xpsql.cpp: 错误5 来自CreateProcess（第737 行）
还真没有遇见过。搜索下.遇到这个困扰的,人还不少。原来。错误5是个系统提示的错误号，CreateProcess这个是创建进程的意思，这个错误产生和系统文件cmd.exe有很大的关系，一种情况是cmd被删除，一种是cmd的权限被降低了。
那貌似是路被堵死了，然后想起穿山甲上的执行命令的有两个组建。除了xp_cmdshell外还有sp_oacreate可以执行命令
用cmd替换sethc..

无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。然后一直删除了，再恢复后
但是 我再次 使用

无法在库odsole70.dll 中找到函数sp_oacreate。原因: 127(找不到指定的程序。)。

原因我也没懂..搞了近乎一个下午。还是无果…

翻书的时候突然看见IFEO劫持…
既然我们是介绍IFEO技术相关，那我们就先介绍下： 一，什么是映像胁持（IFEO）？ 所谓的IFEO就是Image File Execution Options 在是位于注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ 由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

那就来玩一次IFEO劫持

没有出错…嘿嘿…
那我们来查看是否劫持成功

Debugger c:/windows/system32/cmd.exe
哈哈哈…居然成功了

呃…shift不行..

继续执行

继续执行来查看是否劫持成功

我郁闷，还是调不出来

在想是不是系统的被禁用了，于是调用自己上传的cmd

发现自己的也不行，就是弹不出来，然后面面牛封装了一个bat上去，发现添加用户也不成功。
然后面面大牛突提示：

那继续

然后执行查看

成功了，但是估计也那啥，不管了，先看看

期间尝试了资源管理器和任务管理都没有成功

各种蛋疼

还是没有成功

好吧，继续

然后查看

但是还是没有重新启动。一个晚上过去了，我还是没有搞定。
早上起来

咱们来膜拜下

好吧， 反正是拿下了..

91ri.org:这个方法之前小编有听过 但真正的文章是前两天逛90sec的时候发现的 感觉还不错 是一个思路，不敢独享发出来让大家一起围观一下。如果想学习更多的提权知识可以参考我们的提权目录<<提权>>。

今天是中秋 小编在此代表91RI的全体成员祝大家中秋愉快！

本文作者：Author:Saline&双面人转自2cto由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理，转载请注名出处！