注入的发展给
webshell
的研究提供了孕育的环境,
asp
系统的上传漏洞,尤其是使用广泛的
dvbbs
的上传漏洞给
webshell
快速发展,另外,下载默认数据库或备份数据库,然后利用后台的数据库备份得到
webshell
也是非常重要的入侵的手段,尤其是
dvbbs
数据库的表
dv_logs
的设置,简直让
md5
形同虚设。
Webshell 权限的提升的研究,一下子成为摆在众多 web 攻击爱好者的难题。最近经常看到有人问,得到了 webshell ,可是由于种种限制,不能得到权限,或者达不到旁注的目的,请求办法。
记得一位牛人说的话:只要有 webshell ,我就能获得管理员权限。
鄙人没有这么强,我只是根据我实际的入侵经验给大家谈谈虚拟主机的权限,错误与不足之处请大家指出,欢迎来我的网站和我讨论( http : //www.918x.com)。本文部分得到岁月联盟HaK_BaN的帮助,在此表示感谢。
在入侵中以下几种情况不属于我们探讨的范围。
可以跳转到任意目录并可写可执行;可以修改 C :/ Program Files / serv - u / ServUDaemon . ini ;可以成功运行 "cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps" 提升权限的。可以成功用绑定木马的类似程序替换相关程序或服务。
好了,这里我们使用的木马主要是老兵的 asp 管理 6 . 0 ,辅助的是砍客的 C / S ASP 木马。(这两个木马配合使用效果要比海洋好。)
一般虚拟主机是这样设置的:系统的每个分区禁止 everyone 访问的。每个网站用单独的 iis 用户,例如, iis_www . target . com 。一般虚拟主机设置这个用户是隶属 guest 组的,权限很低的。只能访问特定的文件夹。这就导致了网站目录不能跳转,你只能访问本网站所在文件夹。
但是我要强调的是,虽然禁止了 C 盘的 everyone 访问,但是大多数系统的 C 盘子文件夹没有继承父文件夹的限制,于是,我们可以手动的访问(注意:自己添加路径再转) C :/ Documents and Settings 和 C :/ Program Files ,这个对入侵提升权限非常重要。
我们可以访问 C :/ Program Files / serv - u / ServUDaemon . ini ,但是 serv - u 的利用太广泛了,一般的管理员都知道设置 serv - u 文件夹的权限,一般是不能修改的。
我们还可以手动访问并下载 C :/ Documents and Settings / All Users / Application Data / Symantec / pcAnywhere 下的*. cif 文件,进而破解出 pcAnywhere 的用户名和密码来远程登陆。也可能出现管理员登录后我们就上不去,管理员离开后会把桌面锁定。这里老兵( http : //www.gxgl.com)给我们提供一个解决思路(http://www.918x.com/showart.asp?art_id=47&cat_id=5)。
如果手动可以访问 c :/ php , c :/ prel 等,说明我们可以使用 php , cgi 等的 webshell 。具体这期《黑客 X 档案》里 angel 的文章就很成功地突破了限制,我就不多重复。
给 angel 补充一点:如果能看见 C :/ Program Files / Java Web Start /,可以试试用 jsp 的 webshell ,我遇见过一次,但是权限也不是很大。
用砍客的木马,我们可以看到有 serv - u 的运行,并且知道他的绝对路径,很自然可以想到 serv - u 的权限的提升。这里就要涉及到三点: 1 ,上传溢出程序。 2 , cmd 的可用。 3 , iis 单用户要有运行程序的权限。对于第一点,老兵的木马涉及到 Scripting . Dictionary (数据流上传辅助组件), Adodb . Stream (数据流上传组件), SoftArtisans . FileUp ( SA - FileUp 文件上传组件), LyfUpload . UploadFile (刘云峰文件上传组件), Persits . Upload . 1 ( ASPUpload 文件上传组件)一般来说是可以上传,没有问题的。(如果还不行,我推荐使用 littlepigp 无组件上传, hackbase . com 有下的。)对于第二点, wscript . shell 组件的使用非常重要,当出现了 "拒绝访问。 " ,我们则可以知道对方的 cmd 不允许访问,这样我们可以上传一个 cmd . exe 来达到我们使用 cmd 的目的。但是当我们看见 "ActiveX 部件不能创建对象" ,说明我们完全不能使用 cmd ,入侵也就陷入了困境。对于第 3 点,则基本没有办法,例外的还是 FTA 分区的利用,权限再低,在 FTA 分区还是可以轻松运行程序的。
我们经常讲黑客要有发散性思维,不能总是思维定势。其他的一些突破方法,无非是基于对主机其他内容的利用来达到的。比如,有人利用 flashfxp 里的配置文件来获得一些密码基本信息。我们同样可以下载 CuteFTP 的配置文件来替换本地文件也能达到相同的目的。
再稍微谈一下那篇 "将asp木马权限提升到最高" 里的方法,一般情况下,在我们可以使用 cmd 的前提下,虽然服务器支持 FSO ,但我们是没有访问 C :/ Inetpub /的权限的,这样我们自然不能用 "cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps" 这句来提升权限的。如图:
如果权限设置得太严格,唯一的通用的办法就是在 "c:/Documents and Settings/All Users/「开始」菜单/程序/启动" 写入 bat , vbs 等木马。等主机重启或者你 ddos 逼它重启,来达到权限提升的目的。
虚拟主机的设置有的是十分变态,比如:有些主机允许上传,但是不允许修改和删除;有些主机的 Program Files 被改为很变态的名字;有些主机的 serv - u 竟然是隶属 guest 组的用户来运行的;有些主机的杀毒做得十分惊人, n 重加密过的种种木马难逃杀手, BT 到了极点。
没有绝对安全的软件系统,所以我相信也没有绝对安全的虚拟主机,运气是一小部分。你的思维确非常重要。同样获得 webshell ,为什么高手可以成功实现权限的提升,你不行?我认为其实关键是发散的思维方式,而不是技术。
希望大家踊跃给我意见, Rain [ 918x ]叩首!
Webshell 权限的提升的研究,一下子成为摆在众多 web 攻击爱好者的难题。最近经常看到有人问,得到了 webshell ,可是由于种种限制,不能得到权限,或者达不到旁注的目的,请求办法。
记得一位牛人说的话:只要有 webshell ,我就能获得管理员权限。
鄙人没有这么强,我只是根据我实际的入侵经验给大家谈谈虚拟主机的权限,错误与不足之处请大家指出,欢迎来我的网站和我讨论( http : //www.918x.com)。本文部分得到岁月联盟HaK_BaN的帮助,在此表示感谢。
在入侵中以下几种情况不属于我们探讨的范围。
可以跳转到任意目录并可写可执行;可以修改 C :/ Program Files / serv - u / ServUDaemon . ini ;可以成功运行 "cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps" 提升权限的。可以成功用绑定木马的类似程序替换相关程序或服务。
好了,这里我们使用的木马主要是老兵的 asp 管理 6 . 0 ,辅助的是砍客的 C / S ASP 木马。(这两个木马配合使用效果要比海洋好。)
一般虚拟主机是这样设置的:系统的每个分区禁止 everyone 访问的。每个网站用单独的 iis 用户,例如, iis_www . target . com 。一般虚拟主机设置这个用户是隶属 guest 组的,权限很低的。只能访问特定的文件夹。这就导致了网站目录不能跳转,你只能访问本网站所在文件夹。
但是我要强调的是,虽然禁止了 C 盘的 everyone 访问,但是大多数系统的 C 盘子文件夹没有继承父文件夹的限制,于是,我们可以手动的访问(注意:自己添加路径再转) C :/ Documents and Settings 和 C :/ Program Files ,这个对入侵提升权限非常重要。
我们可以访问 C :/ Program Files / serv - u / ServUDaemon . ini ,但是 serv - u 的利用太广泛了,一般的管理员都知道设置 serv - u 文件夹的权限,一般是不能修改的。
我们还可以手动访问并下载 C :/ Documents and Settings / All Users / Application Data / Symantec / pcAnywhere 下的*. cif 文件,进而破解出 pcAnywhere 的用户名和密码来远程登陆。也可能出现管理员登录后我们就上不去,管理员离开后会把桌面锁定。这里老兵( http : //www.gxgl.com)给我们提供一个解决思路(http://www.918x.com/showart.asp?art_id=47&cat_id=5)。
如果手动可以访问 c :/ php , c :/ prel 等,说明我们可以使用 php , cgi 等的 webshell 。具体这期《黑客 X 档案》里 angel 的文章就很成功地突破了限制,我就不多重复。
给 angel 补充一点:如果能看见 C :/ Program Files / Java Web Start /,可以试试用 jsp 的 webshell ,我遇见过一次,但是权限也不是很大。
用砍客的木马,我们可以看到有 serv - u 的运行,并且知道他的绝对路径,很自然可以想到 serv - u 的权限的提升。这里就要涉及到三点: 1 ,上传溢出程序。 2 , cmd 的可用。 3 , iis 单用户要有运行程序的权限。对于第一点,老兵的木马涉及到 Scripting . Dictionary (数据流上传辅助组件), Adodb . Stream (数据流上传组件), SoftArtisans . FileUp ( SA - FileUp 文件上传组件), LyfUpload . UploadFile (刘云峰文件上传组件), Persits . Upload . 1 ( ASPUpload 文件上传组件)一般来说是可以上传,没有问题的。(如果还不行,我推荐使用 littlepigp 无组件上传, hackbase . com 有下的。)对于第二点, wscript . shell 组件的使用非常重要,当出现了 "拒绝访问。 " ,我们则可以知道对方的 cmd 不允许访问,这样我们可以上传一个 cmd . exe 来达到我们使用 cmd 的目的。但是当我们看见 "ActiveX 部件不能创建对象" ,说明我们完全不能使用 cmd ,入侵也就陷入了困境。对于第 3 点,则基本没有办法,例外的还是 FTA 分区的利用,权限再低,在 FTA 分区还是可以轻松运行程序的。
我们经常讲黑客要有发散性思维,不能总是思维定势。其他的一些突破方法,无非是基于对主机其他内容的利用来达到的。比如,有人利用 flashfxp 里的配置文件来获得一些密码基本信息。我们同样可以下载 CuteFTP 的配置文件来替换本地文件也能达到相同的目的。
再稍微谈一下那篇 "将asp木马权限提升到最高" 里的方法,一般情况下,在我们可以使用 cmd 的前提下,虽然服务器支持 FSO ,但我们是没有访问 C :/ Inetpub /的权限的,这样我们自然不能用 "cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps" 这句来提升权限的。如图:
如果权限设置得太严格,唯一的通用的办法就是在 "c:/Documents and Settings/All Users/「开始」菜单/程序/启动" 写入 bat , vbs 等木马。等主机重启或者你 ddos 逼它重启,来达到权限提升的目的。
虚拟主机的设置有的是十分变态,比如:有些主机允许上传,但是不允许修改和删除;有些主机的 Program Files 被改为很变态的名字;有些主机的 serv - u 竟然是隶属 guest 组的用户来运行的;有些主机的杀毒做得十分惊人, n 重加密过的种种木马难逃杀手, BT 到了极点。
没有绝对安全的软件系统,所以我相信也没有绝对安全的虚拟主机,运气是一小部分。你的思维确非常重要。同样获得 webshell ,为什么高手可以成功实现权限的提升,你不行?我认为其实关键是发散的思维方式,而不是技术。
希望大家踊跃给我意见, Rain [ 918x ]叩首!
2067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
