2.18 通过戴尔服务器远程访问管理卡获取服务器权限

在主机文件或者邮箱系统中极有可能保存一些账号和密码，如果里面包含戴尔服务器远程访问管理卡的账号和密码，攻击者就可以通过加载镜像文件获取系统权限。

2.18.1 获取服务器远程访问管理卡的账号和密码

1．登录系统

戴尔服务器远程访问管理卡是在紧急情况下（例如宕机）辅助管理服务器的通道工具，通常使用HTTPS协议提供服务，在戴尔和惠普的服务器上均有类似软件。如图2-177所示，戴尔服务器的远程访问管理卡界面会显示服务器的运行状况等信息。

图2-177 登录远程管理系统

2．使用虚拟控制台

登录远程管理系统后，可以进行类似于VMware的vCenter控制台管理。如果拥有操作系统的密码，可以直接登录服务器，如图2-178所示。启动虚拟控制台有两种方式，一种是通过Java启动，另一种是下载可执行程序启动，换句话说，需要一些环境的支持（Java运行环境或者.NET框架）。

图2-178 直接登录内部操作系统

3．操控操作系统

通过虚拟控制台可对操作系统进行冷/热重启、关机、选择引导项、远程加载虚拟介质重装操作系统等操作。如图2-179所示，利用控制台重启服务器。

图2-179 重启服务器

2.18.2 加载ISO文件

1．加载ISO文件

将本地准备好的可正常运行的ISO镜像文件通过“虚拟介质”映射至远程服务器，加载远程镜像，重装操作系统，如图2-180所示。选择“创建映像”选项，在如图2-181所示的界面中，选择一个源文件夹，然后选择一个镜像文件，完成镜像文件的创建。

图2-180 加载ISO文件

图2-181 创建镜像

2．启用虚拟介质

如图2-182所示，选择“WinPE_server.iso已映射到CD/DVD”选项，启用该镜像文件，重启系统后会直接进入安装界面。

图2-182 选择镜像文件后重启

3．选择DOS工具集（增强版）

重装系统需要停机很长时间，笔者自己测试的时候等了很久也没加载完成，因此一般不选择“重装系统”等选项，一般建议选择“3”，如图2-183所示，进入DOS界面。

图2-183 选择进入DOS界面

4．使用DOS工具箱

Ghost镜像文件通常自带DOS工具箱。DOS一般很小，加载起来比较快，并提供了访问NTFS分区的功能，如图2-184所示。

图2-184 提供访问NTFS分区功能

5．访问NTFS磁盘

如图2-185所示，选择访问NTFS分区后，可以直接查看目标所在的网站程序等信息。

图2-185 直接查看网站代码文件等

2.18.3 替换文件获取服务器权限

1．通过替换放大镜（osk.exe）或粘滞键（sethc.exe）等获取WebShell

先删除osk.exe，然后复制cmd为osk，如图2-186所示，到windows\system32目录下分别执行如下命令。

图2-186 替换系统文件

        del osk.exe              //删除osk文件
        dir osk.exe              //查看文件是否被删除
        copy cmd.exe osk.exe     //替换osk为cmd，并重命名为osk

2．重启系统获取系统权限

重启服务器，在登录界面上打开放大镜，直接获取cmd的命令提示符窗口。由于放大镜使用的是系统权限，因此弹出来的cmd命令窗口也拥有系统权限。通过该窗口可以添加管理员命令，如图2-187所示，直接获取系统权限，达到提权的目的。

图2-187 重启系统获取系统权限