FileZilla Server 2008 x64 提權

目標站點環境：
Windows Server 2008 R2 x64
PHP Version 5.4.31
MySQL Server 5.5

開啓安全模式禁用一些函數:disable_functions,exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod,escapeshellarg,escapeshellcmd,sh2_exec,proc_terminate,proc_close：

C盤根目錄無讀，D盤全盤瀏覽。mysql降權單獨用戶，sqlserver端口修改成1434，數據庫sa密碼不正確，也沒法利用。
站點支持aspx，上傳大馬看下，補丁打的比較多，vmware虛擬機， 安裝了 206 個修補程序。EXP本地溢出無果：

       發現FileZilla server.exe進程

       

       而後轉發14147端口到外網IP，下載D:\Program Files\FileZilla_server\的安裝目錄到本地，連接外網的端口登入：
添加ftpadmin賬號C盤根目錄，給足權限。

到這裏的話，思路就是用這個FTP賬號去修改，system32下sethc.exe，而後5次shift你懂的。可是2008系統權限比2003嚴格一點，致使系統文件是不能修改和刪除重命名，這裏是沒有辦法利用：

這個時候，提權的思路就如下幾種：
1.經過FTP去篡改他桌面上快捷方式，路徑指向給修改到咱們的惡意程序。（比較被動）不推薦
2.上傳利用到2008啓動項 目錄裏，c:/users/administrator/appdata/roaming/microsoft/windows/start menu/programs/startup/
可是須要服務器重啓後，爲了提升成功率，我本地搭建個差很少同樣的環境測試一下：寫個加賬號的批處理，用BatToExeConverter給轉成exe放到測試環境裏

直接強制重啓，

須要管理員登陸系統，才能觸發。仍是有一些被動，一時半會管理員也登錄不上。。。。
只有用第三種了。

3.替換system系統服務程序，進行提權。

利用ASPXSPY查看下，找啓動方式爲auto的，這裏就替換vmtools的程序vmtoolsd.exe，固然也能夠替換其餘的好比mysql（降權就算了），sqlserver等服務，記的再替換回來。

而後使用剛出來的webdav漏洞BSoD.exe使服務器藍屏重啓，重啓完之後成功添加賬號temp

記的登陸系統後，替換的服務是中止狀態，把vmtoolsd.exe給改回來，服務給啓動恢復原樣。
本地測試的時候，可能會出現，重啓完後替換的程序沒有執行，這時候能夠考慮一下把利用程序和替換的程序，綁成一個，測試也能夠成功。
因爲沒有殺毒軟件，或者WAF才如此順利，可能會遇到的環境會更復雜。

做者：@y0uki11 轉載於90sec