寶塔disable functions函數(shù)全被禁命令執(zhí)行+加域服務器是如何無限制執(zhí)行命令

寶塔disable functions函數(shù)全被禁命令執(zhí)行+加域服務器是如何無限制執(zhí)行命令，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

實驗環(huán)境2008 R2

寶塔搭建的IIS discuz3.2X

手動上傳shell

冰蝎連接

（ps:有表哥使用冰蝎的時候提示文件存在但是無法獲取密鑰，解決辦法，使用最新版本的冰蝎即可，具體詳情看更新日志）

下載地址：https://github.com/rebeyond/Behinder/releases/

連接上shell發(fā)現(xiàn)無法執(zhí)行命令???

查看phpinfo原來是禁用了函數(shù)……幾乎能用的都禁用了

想想很奇怪，剛搭建的網(wǎng)站那就是是默認值，為啥平時日站不是這樣的，東查西查之后真的要好好感謝一下寶塔，太sweetheart了，部分默認禁用值截圖如下。

既然禁用了函數(shù)，那么我們本著沒有解決不掉問題的想法，百度！

雷神眾測公眾號的一篇文章總結(jié)的超棒！打call !!

第一趴,常規(guī)繞過，看了看phpinfo，就知道現(xiàn)在情況不常規(guī)。

第二趴，對不起，putenv不可用

第三趴，不支持

6-12都看了一遍，同理如上。

不得不說，總結(jié)的太好了，但是tm都不能用啊，寶塔牛逼啊，一劍封喉啊

饒頭……

問了問大佬們，又get一個解決方案，又可以繼續(xù)百度啦?。?！

Emmm…不對，我不會溢出啊。

繼續(xù)百度查看一下Github的bypass全家桶？？？康康康康

直接飄紅

又試了幾個都是如此（畢竟禁用了函數(shù)）

這個時候一篇文章吸引了我（沒辦法了，只能看你了）

作者說

那我們就按照他的方法來做

可是留下的代碼好像不太行

最后找了暗月的提權(quán)工具，

可以正常使用了，選擇對應的版本，導出udf.dll文件

Ps：

MYSQL <5.1版本導出路徑：

C:udf.dll    2000
C:udf.dll 2003（有的系統(tǒng)被轉(zhuǎn)義，需要改為C:sudf.dll）

導出DLL文件，導出時請勿必注意導出路徑（一般情況下對任何目錄可寫，無需考慮權(quán)限問題）

MYSQL>= 5.1，必須要把udf.dll文件放到MYSQL安裝目錄下的lib\plugin文件夾下才能創(chuàng)建自定義函數(shù)

該目錄默認是不存在的，這就需要我們使用webshell找到MYSQL的安裝目錄，并在安裝目錄下創(chuàng)建lib\plugin文件夾，然后將udf.dll文件導出到該目錄即可。

之后我們可以成功執(zhí)行命令

Ps：親測添加管理員數(shù)據(jù)庫會down，表哥們實際環(huán)境注意安全。

看了看也是只能簡單運行sys_eval

這就很撓頭呀，難道我要上服務器把寶塔的設(shè)置關(guān)掉嘛（當作無事發(fā)生）

想了想用CS反彈出來再康康吧

服務器powershell普通管理員權(quán)限執(zhí)行

意外發(fā)現(xiàn)可以無限制執(zhí)行命令（其實搗鼓了好一會==，開始用的3.13/3.14都不可以執(zhí)行，最后嘗試了4.1版本發(fā)現(xiàn)可以執(zhí)行）

Mimikatz查看密碼

？？？？看下本地情況

本地服務器加域之后沒有域管理員密碼無法直接創(chuàng)建用戶的額==

雖然本次實驗有很多bug的地方（比如知道了root密碼啥的），不過其中有些思路覺得值的記錄一下。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。