提个星外 从早上9点左右提权到凌晨1点。都还提不下 提星外我也成功过几次。但是这次是最蛋疼的一次。以下是我自己收集的资料和一些我总结出来的思路。希望对大家有帮助。
常见的虚拟主机识别:
星外虚拟主机主机D:\freehost\zhoudeyang\web\Prim@Hosting 一般很难找到可执行目录,可以测试用远程调用cmd,exp来提权
虚拟主机D:\hosting\wwwroot\ vhostroot
分支D:\Vhost\WebRoot\51dancecn\ vhostrootD:\vhostroot\localuser\星外分支D:\vhostroot\LocalUser\gdrt\
新网虚拟主机D:\virtualhost\web580651\www\ 可以找到很多可执行目录,但是目前基本上大部分为windows 2008 系统,提权有难度
华众虚拟主机E:\wwwroot\longzhihu\wwwroot\ 一般有安全模式星外分支F:\host\wz8088\web\
万网虚拟主机F:\usr\fw04408\xpinfo\ 支持aspx的话应该能扫到可执行目录
D:\freehost\ 你懂的。!
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost sa
找星外的sa密码保存处 经常破不出 就算破出来了经常连不上
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ 网站物理路径
这个有时候自然有用的
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\ root
mysql:
root
890poi890poi 星外的默认密码
提权星外之前 必须要找可读可写可执行目录。
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\ 可以读 不可写
是不可以上传文件的 但我们可以尝试上传log.csv 覆盖 这个是可以的
这样可以执行cmd了
星外虚拟主机 可写目录跟帖汇集
最近貌似星外的讨论的很火,星外主要还是找有可写可执行权限的目录,新版本的星外要找这些目录基本上无望,我这里抛砖引玉希望各位共享更多目录。
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\有的杀毒 防火墙目录有权限
C:\7i24.com\iissafe\log\ 不过新版本的貌似放到C:\windows\下了,并且我也没看到有iissafe文件夹了
C:\RECYCLER C:\windows\temp\ 看运气了
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
还有这个,主要看MSSQL版本问题
一切看情况而定了, 有的星外网站目录和系统盘设置都很BT, 但是其他盘如 E,F盘,却可读可写饿e:\recycler\
f:\recycler\
C:\Program Files\Symantec AntiVirus\SAVRT\
c:\windows\system32\E177E04D548C4006A465EEB92D3DE021\Temp\
C:\WINDOWS\***.com\FreeHost
C:\php\dev
C,D,E... 以下不一定有权限
C:\~1
C:\System Volume Information
C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
星外最新总结
思路一:
但是事与愿违的是目前大部分虚拟主机基本都是安全模式~~~
如何突破?一般是只有通过第三方软件提权,常见的mssql,mysql和Navicat,如何找到mssql和mysql密码,所以收集信息就十分重要。
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
星外存储mssql密码位置,解密后一般是无法连接,但是去可以用来社工。经常碰见sa密码和root密码相同,当然也可以试试直接用3389登录下。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002
星外存贮ftp密码的位置。同样是用来收集信息。
navicat管理的MySQL服务器信息(一般是root帐户)是存在注册表里的,具体是:
HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers
导出注册表导入到本机然后星号察看就OK了。
还有就是:
navicat会把操作日志(比如加账户)保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt,低版本是安装目录下的logs下LogHistory.txt
详细的收集信息,请看文章:windows提权中敏感目录和敏感注册表的利用
思路二:
这里搜集了一些星外freehostrunat的一些密码:
fa41328538d7be36e83ae91a78a1b16f!7 默认密码
991b95d33a17713068403079d4fe40a4!7
83e0843d0091c43c4837bea224ebf197!7
7b41043919eec81c59f9eb95ac3bc456!7
4d91105ff31261b8a75a06c30002b09d!7
41328538d7be36e83ae91a78a1b16f!7
a0539224259d2494cde874f88fe86bff!7
5720969b84e8749764b39fa567331d80!7
a87997782e814aebb69b2cded123d642!7
fad7be36e83ae91a78a1b16f!7
be36e83ae91a78a1b16f!7
b261e1759169b6318907d4ff7b87c301!7
至于用来干什么,我想你会懂,反正我是这样成功过~~~
新思路三:
当找可读可写的目录 有时候找到了可读可写的目录也不一定能执行。也是提示无权限 再说服务器虽然没有了360,但是还有麦咖啡跟一流监控呢,很多东西都无法上传。
未加入过滤行列的程序直接删了都。 大家都知道,在C:\Program Files的文件夹有一个winrar的目录文件夹。
先用aspx大马试探下rar能否执行。
命令是:C:\Program Files\Winrar\rar.exe或unrar.exe 如果能够正被执行的说明还是有希望的。
在本地创建一个rar的压缩包。包含星外exp、cmd。上传到网站的根目录。接着就是查找可写目录了。到了这里有的人可能会说。找到了可写目录不就可执行了吗。但有的情况可能你没有遇到过,明明提示上传成功了的,却找不到了,有时会在执行的时会还是提示没有权限。接着在aspx上执行rar.exe。释放文件 例如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
这样rar的文件就被释放到了media index的目录里。因为是在服务器上执行的。很多杀软不监控。
接着就到aspx那执行去了。顺利拿到密码。
新思路四:
找到星外管理网站:
一般是这些:
C:\freehostmain\ C:\freehostmain1\
D: \freehostmain\ D:\freehostmain1\
、、、、、
然后尝试跳转或者拿下这个管理端,FreeHostMain 文件夹(默认是FreeHostMain),找到Global.asa文件,打开之后会看见如下代码:
<SCRIPT LANGUAGE=VBScript RUNAT=Server> Sub Application_OnStart SQLPassword="abcd1234"'为了安全,请修改数据库的登陆密码为您自己的密码,这个密码可以在SQL2000企业管理器--安全性--登陆--FreeHost用户属性中设置。
这就是星外的数据库管理密码,默认账号=FreeHost,密码=abcd1234,然后用查询分析器连接。数据库中有大量的信息~~~神马sa,root,ftp等密码都有~~
serverlist 为虚拟主机服务器列表
serversqllist 为数据库服务器列表
serverVPSlist 为VPS被控列表
servernam 为主机名称site 为站点softtype 为数据库类型IP 为IPadmpass 为数据库密码
这里数据库密码可以找到所有服务器的sa和root密码,而且还是明文的!找到了就可以通过sa恢复组件进行提权了。
接下来继续找表 FreeHost_Admuser,这个是星外的后台管理表段,密码是 md5 加密。
通过nmap进行扫描端口,找到http端口进行尝试打开,默认后台是adm
http://123.1*3.1*3.1*3:80/adm
当然你在后台也可以找到很多信息~~~
小技巧:
当可读可写目录存在空格的时候:
会出现这样的情况:
'C:\Documents' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
解决办法是利用菜刀的交互shell切换到exp路径,如:
Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录
然后再执行exp或者cmd,就不会存在上面的情况了,aspshell一般是无法跳转目录的~~
可近来星外主机的目录设置越来越BT,几乎没有可写可执行目录。另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换,将这些文件替换为我们的cmd.exe和cscript.exe来提权,经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行。
首先是我们可爱的360杀毒。
c:\Program Files\360\360Safe\AntiSection\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 静态设置软件ISAPI Rewrite配置文件
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件
诺顿杀毒可能局限于版本,我本机XP并未找到以上文件
以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
DU Meter的流量统计信息日志文件
暂时知道以上文件权限为Everyone,注意,即使可替换文件的所在目录你无权访问,也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db,可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限,用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问,可mutex.db文件在该目录下,你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。
这样一来在没有找到可写可执行目录时候,不防查看服务器上是否安装了以上软件,有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。
以下是keio收集的资料 和自己总结的思路。
星外提权目录收集c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 静态设置软件ISAPI Rewrite配置文件
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件
以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
DU Meter的流量统计信息日志文件
文件:C:\WINDOWS\TAPI\tsec.ini
360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
DU Meter的流量统计信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
诺顿
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
华盾
文件:C:\WINDOWS\hchiblis.ibl
一流过滤:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
文件:C:\7i24.com\LinkGate\log\….
目录:C:\7i24.com\LinkGate\log
目录:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\….
部分zend版本可能有这个提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x……
c:\7i24.com\iissafe\log\sys
近期有用户的报告发映服务器被入侵,经查是回收站目录的权限有错造成的.
(最新发现一键GHOST产生的默认备份目录如~1也会有安全问题) ~~这个不错以前没注意到
另外,所有安装诺顿10的用户,请马上升级成诺顿11,不然以下目录一升级诺顿就有权限问题:
C:\Program Files\Symantec AntiVirus\SAVRT
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
C:\wmpub
C:\upload
C:\inetpub
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
有users,或everyone写入的权限,大家查下有没有这个问题
如果能找到可执行目录 90%能提权成功了 !