2.18 通過戴爾服務器遠程訪問管理卡獲取服務器權限

在主機文件或者郵箱系統中極有可能保存一些賬號和密碼，如果里面包含戴爾服務器遠程訪問管理卡的賬號和密碼，攻擊者就可以通過加載鏡像文件獲取系統權限。

2.18.1 獲取服務器遠程訪問管理卡的賬號和密碼

1．登錄系統

戴爾服務器遠程訪問管理卡是在緊急情況下（例如宕機）輔助管理服務器的通道工具，通常使用HTTPS協議提供服務，在戴爾和惠普的服務器上均有類似軟件。如圖2-177所示，戴爾服務器的遠程訪問管理卡界面會顯示服務器的運行狀況等信息。

圖2-177 登錄遠程管理系統

2．使用虛擬控制臺

登錄遠程管理系統后，可以進行類似于VMware的vCenter控制臺管理。如果擁有操作系統的密碼，可以直接登錄服務器，如圖2-178所示。啟動虛擬控制臺有兩種方式，一種是通過Java啟動，另一種是下載可執行程序啟動，換句話說，需要一些環境的支持（Java運行環境或者.NET框架）。

圖2-178 直接登錄內部操作系統

3．操控操作系統

通過虛擬控制臺可對操作系統進行冷/熱重啟、關機、選擇引導項、遠程加載虛擬介質重裝操作系統等操作。如圖2-179所示，利用控制臺重啟服務器。

圖2-179 重啟服務器

2.18.2 加載ISO文件

1．加載ISO文件

將本地準備好的可正常運行的ISO鏡像文件通過“虛擬介質”映射至遠程服務器，加載遠程鏡像，重裝操作系統，如圖2-180所示。選擇“創建映像”選項，在如圖2-181所示的界面中，選擇一個源文件夾，然后選擇一個鏡像文件，完成鏡像文件的創建。

圖2-180 加載ISO文件

圖2-181 創建鏡像

2．啟用虛擬介質

如圖2-182所示，選擇“WinPE_server.iso已映射到CD/DVD”選項，啟用該鏡像文件，重啟系統后會直接進入安裝界面。

圖2-182 選擇鏡像文件后重啟

3．選擇DOS工具集（增強版）

重裝系統需要停機很長時間，筆者自己測試的時候等了很久也沒加載完成，因此一般不選擇“重裝系統”等選項，一般建議選擇“3”，如圖2-183所示，進入DOS界面。

圖2-183 選擇進入DOS界面

4．使用DOS工具箱

Ghost鏡像文件通常自帶DOS工具箱。DOS一般很小，加載起來比較快，并提供了訪問NTFS分區的功能，如圖2-184所示。

圖2-184 提供訪問NTFS分區功能

5．訪問NTFS磁盤

如圖2-185所示，選擇訪問NTFS分區后，可以直接查看目標所在的網站程序等信息。

圖2-185 直接查看網站代碼文件等

2.18.3 替換文件獲取服務器權限

1．通過替換放大鏡（osk.exe）或粘滯鍵（sethc.exe）等獲取WebShell

先刪除osk.exe，然后復制cmd為osk，如圖2-186所示，到windows\system32目錄下分別執行如下命令。

圖2-186 替換系統文件

        del osk.exe              //刪除osk文件
        dir osk.exe              //查看文件是否被刪除
        copy cmd.exe osk.exe     //替換osk為cmd，并重命名為osk

2．重啟系統獲取系統權限

重啟服務器，在登錄界面上打開放大鏡，直接獲取cmd的命令提示符窗口。由于放大鏡使用的是系統權限，因此彈出來的cmd命令窗口也擁有系統權限。通過該窗口可以添加管理員命令，如圖2-187所示，直接獲取系統權限，達到提權的目的。

圖2-187 重啟系統獲取系統權限