提权星外的一些思路总结 - cracer_CSDN

提个星外 从早上9点左右提权到凌晨1点。都还提不下 提星外我也成功过几次。但是这次是最蛋疼的一次。以下是我自己收集的资料和一些我总结出来的思路。希望对大家有帮助。

常见的虚拟主机识别：

星外虚拟主机主机D:\freehost\zhoudeyang\web\Prim@Hosting  一般很难找到可执行目录，可以测试用远程调用cmd，exp来提权

虚拟主机D:\hosting\wwwroot\ vhostroot

分支D:\Vhost\WebRoot\51dancecn\ vhostrootD:\vhostroot\localuser\星外分支D:\vhostroot\LocalUser\gdrt\

新网虚拟主机D:\virtualhost\web580651\www\   可以找到很多可执行目录，但是目前基本上大部分为windows 2008 系统，提权有难度

华众虚拟主机E:\wwwroot\longzhihu\wwwroot\   一般有安全模式星外分支F:\host\wz8088\web\

万网虚拟主机F:\usr\fw04408\xpinfo\   支持aspx的话应该能扫到可执行目录

D:\freehost\  你懂的。！

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost sa

找星外的sa密码保存处  经常破不出  就算破出来了经常连不上

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ 网站物理路径

这个有时候自然有用的 

HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\   root

mysql:

root

890poi890poi 星外的默认密码

提权星外之前 必须要找可读可写可执行目录。

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\ 可以读 不可写 

是不可以上传文件的 但我们可以尝试上传log.csv 覆盖 这个是可以的

这样可以执行cmd了 

星外虚拟主机 可写目录跟帖汇集

最近貌似星外的讨论的很火，星外主要还是找有可写可执行权限的目录，新版本的星外要找这些目录基本上无望，我这里抛砖引玉希望各位共享更多目录。

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

C:\php\PEAR\

C:\Program Files\Zend\ZendOptimizer-3.3.0\  

C:\Program Files\Common Files\有的杀毒 防火墙目录有权限

C:\7i24.com\iissafe\log\     不过新版本的貌似放到C:\windows\下了，并且我也没看到有iissafe文件夹了

C:\RECYCLER  C:\windows\temp\  看运气了

c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

还有这个,主要看MSSQL版本问题

一切看情况而定了, 有的星外网站目录和系统盘设置都很BT, 但是其他盘如 E,F盘,却可读可写饿e:\recycler\

f:\recycler\

C:\Program Files\Symantec AntiVirus\SAVRT\

 c:\windows\system32\E177E04D548C4006A465EEB92D3DE021\Temp\

C:\WINDOWS\***.com\FreeHost

C:\php\dev

C,D,E... 以下不一定有权限

C:\~1  

C:\System Volume Information 

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs

C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

星外最新总结

思路一：

但是事与愿违的是目前大部分虚拟主机基本都是安全模式～～～

如何突破？一般是只有通过第三方软件提权，常见的mssql，mysql和Navicat，如何找到mssql和mysql密码，所以收集信息就十分重要。

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

星外存储mssql密码位置，解密后一般是无法连接，但是去可以用来社工。经常碰见sa密码和root密码相同，当然也可以试试直接用3389登录下。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002

星外存贮ftp密码的位置。同样是用来收集信息。

navicat管理的MySQL服务器信息（一般是root帐户）是存在注册表里的，具体是:

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers

导出注册表导入到本机然后星号察看就OK了。

还有就是：

navicat会把操作日志（比如加账户）保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt，低版本是安装目录下的logs下LogHistory.txt

详细的收集信息，请看文章：windows提权中敏感目录和敏感注册表的利用

思路二：

这里搜集了一些星外freehostrunat的一些密码：

fa41328538d7be36e83ae91a78a1b16f!7    默认密码

991b95d33a17713068403079d4fe40a4!7

83e0843d0091c43c4837bea224ebf197!7

7b41043919eec81c59f9eb95ac3bc456!7

4d91105ff31261b8a75a06c30002b09d!7

41328538d7be36e83ae91a78a1b16f!7

a0539224259d2494cde874f88fe86bff!7

5720969b84e8749764b39fa567331d80!7

a87997782e814aebb69b2cded123d642!7

fad7be36e83ae91a78a1b16f!7

be36e83ae91a78a1b16f!7

b261e1759169b6318907d4ff7b87c301!7

至于用来干什么，我想你会懂，反正我是这样成功过～～～

新思路三：

当找可读可写的目录 有时候找到了可读可写的目录也不一定能执行。也是提示无权限 再说服务器虽然没有了360，但是还有麦咖啡跟一流监控呢，很多东西都无法上传。

未加入过滤行列的程序直接删了都。 大家都知道，在C:\Program Files的文件夹有一个winrar的目录文件夹。

先用aspx大马试探下rar能否执行。

命令是:C:\Program Files\Winrar\rar.exe或unrar.exe 如果能够正被执行的说明还是有希望的。

在本地创建一个rar的压缩包。包含星外exp、cmd。上传到网站的根目录。接着就是查找可写目录了。到了这里有的人可能会说。找到了可写目录不就可执行了吗。但有的情况可能你没有遇到过，明明提示上传成功了的，却找不到了，有时会在执行的时会还是提示没有权限。接着在aspx上执行rar.exe。释放文件 例如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index

这样rar的文件就被释放到了media index的目录里。因为是在服务器上执行的。很多杀软不监控。

接着就到aspx那执行去了。顺利拿到密码。

新思路四：

找到星外管理网站：

一般是这些：

C:\freehostmain\    C:\freehostmain1\

D: \freehostmain\    D:\freehostmain1\

、、、、、

然后尝试跳转或者拿下这个管理端，FreeHostMain 文件夹（默认是FreeHostMain），找到Global.asa文件，打开之后会看见如下代码：

<SCRIPT LANGUAGE=VBScript RUNAT=Server> Sub Application_OnStart SQLPassword="abcd1234"'为了安全，请修改数据库的登陆密码为您自己的密码，这个密码可以在SQL2000企业管理器--安全性--登陆--FreeHost用户属性中设置。

这就是星外的数据库管理密码，默认账号=FreeHost，密码=abcd1234，然后用查询分析器连接。数据库中有大量的信息～～～神马sa，root，ftp等密码都有～～

serverlist 为虚拟主机服务器列表

serversqllist 为数据库服务器列表

serverVPSlist 为VPS被控列表

servernam 为主机名称site 为站点softtype 为数据库类型IP 为IPadmpass 为数据库密码

这里数据库密码可以找到所有服务器的sa和root密码，而且还是明文的！找到了就可以通过sa恢复组件进行提权了。

接下来继续找表 FreeHost_Admuser，这个是星外的后台管理表段，密码是 md5 加密。

通过nmap进行扫描端口，找到http端口进行尝试打开，默认后台是adm

http://123.1*3.1*3.1*3:80/adm

当然你在后台也可以找到很多信息～～～

小技巧：

当可读可写目录存在空格的时候：

会出现这样的情况：

'C:\Documents' 不是内部或外部命令，也不是可运行的程序

或批处理文件。

解决办法是利用菜刀的交互shell切换到exp路径，如：

Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录

然后再执行exp或者cmd，就不会存在上面的情况了，aspshell一般是无法跳转目录的～～

可近来星外主机的目录设置越来越BT，几乎没有可写可执行目录。另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换，将这些文件替换为我们的cmd.exe和cscript.exe来提权，经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行。

首先是我们可爱的360杀毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db   360杀毒数据库文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db  360杀毒数据库文件

c:\Program Files\360\360sd\Section\mutex.db   360杀毒数据库文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件，只要安装了360杀毒就一定存在，并且有Everyone权限。其他2个文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   态设置软件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  态设置软件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  静态设置软件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在权限问题，老版本暂时没发现有此类问题。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件

诺顿杀毒可能局限于版本，我本机XP并未找到以上文件

以下是最后2个可替换文件

c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量统计信息日志文件

暂时知道以上文件权限为Everyone，注意，即使可替换文件的所在目录你无权访问，也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限，用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问，可mutex.db文件在该目录下，你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

这样一来在没有找到可写可执行目录时候，不防查看服务器上是否安装了以上软件，有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

以下是keio收集的资料 和自己总结的思路。

星外提权目录收集c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   态设置软件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  态设置软件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  静态设置软件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在权限问题，老版本暂时没发现有此类问题。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件

以下是最后2个可替换文件

c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量统计信息日志文件

文件:C:\WINDOWS\TAPI\tsec.ini

360的

文件:C:\Program Files\360\360sd\Section\mutex.db

文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db

文件:C:\Program Files\360\360Safe\AntiSection\mutex.db

Flash:

文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx

IISrewrite3

文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log

文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf

文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log

DU Meter的流量统计信息日志文件

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

诺顿

c:\Program Files\Common Files\Symantec Shared\Persist.bak

c:\Program Files\Common Files\Symantec Shared\Validate.dat

c:\Program Files\Common Files\Symantec Shared\Persist.Dat

华盾

文件:C:\WINDOWS\hchiblis.ibl

一流过滤:

文件:C:\7i24.com\iissafe\log\startandiischeck.txt

文件:C:\7i24.com\iissafe\log\scanlog.htm

其他有可能提示的文件:

文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat

文件:C:\WINDOWS\Temp\History\History.IE5\index.dat

文件:C:\WINDOWS\Temp\Cookies\index.dat

文件:C:\7i24.com\LinkGate\log\….

目录:C:\7i24.com\LinkGate\log

目录:C:\7i24.com\serverdoctor\log\

文件:C:\7i24.com\serverdoctor\log\….

部分zend版本可能有这个提示:

文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x……

c:\7i24.com\iissafe\log\sys

近期有用户的报告发映服务器被入侵,经查是回收站目录的权限有错造成的.

(最新发现一键GHOST产生的默认备份目录如~1也会有安全问题) ~~这个不错以前没注意到

另外,所有安装诺顿10的用户,请马上升级成诺顿11,不然以下目录一升级诺顿就有权限问题:

C:\Program Files\Symantec AntiVirus\SAVRT

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR

C:\wmpub

C:\upload

C:\inetpub

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

有users,或everyone写入的权限,大家查下有没有这个问题

如果能找到可执行目录 90%能提权成功了 ！