本地搭建实验环境时遇到了不少小问题
实验环境2008 R2
宝塔搭建的IIS discuz3.2X
手动上传shell
冰蝎连接
ps:有表哥使用冰蝎的时候提示文件存在但是无法获取密钥，解决办法，使用最新版本的冰蝎即可 具体详情看更新日志。
下载地址：https://github.com/rebeyond/Behinder/releases/
连接上shell发现无法执行命令???


查看phpinfo原来是禁用了函数……几乎能用的都禁用了


想想很奇怪，刚搭建的网站那就是是默认值，为啥平时日站不是这样的东查西查之后真的要好好感谢
一下宝塔，太sweetheart了，部分默认禁用值截图如下。


既然禁用了函数，那么我们本着没有解决不掉问题的想法，百度！
雷神众测公众号的一篇文章总结的超棒！打call !!
第一趴,常规绕过，看了看phpinfo，就知道现在情况不常规。


第二趴，对不起，putenv不可用


第三趴，不支持


6-12都看了一遍，同理如上。
不得不说，总结的太好了，但是tm都不能用啊，宝塔牛逼啊，一剑封喉啊
饶头……
问了问大佬们，又get一个解决方案，又可以继续百度啦！！！


Emmm…不对，我不会溢出啊。
继续百度查看一下Github的bypass全家桶？？？康康康康


直接飘红


又试了几个都是如此（毕竟禁用了函数）


这个时候一篇文章吸引了我（没办法了，只能看你了）


作者说


那我们就按照他的方法来做


可是留下的代码好像不太行


最后找了暗月的提权工具，
可以正常使用了，选择对应的版本，导出udf.dll文件。


Ps：

MYSQL <5.1版本导出路径：

C:udf.dll  2000
C:udf.dll 2003（有的系统被转义，需要改为C:sudf.dll）
导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题）
MYSQL>= 5.1，必须要把udf.dll文件放到MYSQL安装目录下的lib\plugin文件夹下才能创建自定义函数
该目录默认是不存在的，这就需要我们使用webshell找到MYSQL的安装目录并在安装目录下
创建lib\plugin文件夹，然后将udf.dll文件导出到该目录即可。
之后我们可以成功执行命令



Ps：亲测添加管理员数据库会down，表哥们实际环境注意安全。


看了看也是只能简单运行sys_eval
用CS反弹出来康康



服务器powershell普通管理员权限执行
意外发现可以无限制执行命令（亲测3.13/3.14都不可以执行，4.1版本是可以的）


Mimikatz查看密码


？？？？看下本地情况


本地服务器加域之后没有域管理员密码无法直接创建用户的额==

虽然本次实验有很多bug的地方（比如知道了root密码啥的）不过其中有些思路觉得值的记录一下。
虽然到这里本来想做的实验一步都没做==，完全为了突破环境限制因为要继续做实验，记录的比
较凌乱，表哥们各取所需，有遇到类似情况的也可以私聊讨论。