目录
这篇文章直接从网上找了几篇文章各自筛选了一些,自己修改了一些拼凑在一起,有些真的感觉挺不错的,是在写不出来。如果有违规的地方,请告诉CE,我会删除或修改。
FileZilla 提权
0x01 介绍
服务器权限提升简称提权,是指由原本的80端口低权限。例如:普通network权限提升至System权限,进而得到服务器的所有控制权。
提权大致分为三种类型,分别是:
-
1、堆栈溢出执行任意代码
-
2、利用现有运行的
system权限的软件
-
3、通过社会工程学匹配管理员账号的密码
- 1
利用现有的system权限的程序FileZilla来获得权限。FileZilla开源的ftp服务器,默认监听14147端口,默认安装目录下有个敏 感文件FileZilla Server.xml(包含用户信息)
注:FileZilla Server interface.xml(包含了管理信息)
另外,可能一些网站会开启安全模式
开启安全模式禁用一些函数:
disable_functions,exec,system,passthru,popen,pclose,shell_exec,proc_open,dl,chmod,escapeshellarg,escapeshellcmd,sh2_exec,proc_terminate,proc_close:
0x02 提权思路
-
1、下载两个文件拿到密码
-
-
2、配置端口转发,登录远程管理 ftpserve,创建ftp用户
-
-
3、分配权限,设置家目录伪c:\
-
-
4、使用cmd.exe 改名 sethc.exe 替换 c:\windos\system32\sethc.exe
-
-
5、生成shift后门
-
-
6、连接
3389 按
5次 shift 调出 cmd.exe
- 1
Filezilla和普通Web网站一样,前台有普通FTP账户执行上传、下载、删除等动作,后台则有一个管理员控制台来设置前台的账户以及账户的权限。
前台就是21端口,而后台默认是14147端口。我们的提权方式就是,直接非法连接14147端口,非法登录远程的Filezilla,创建一个拥有全部硬盘目录权限的FTP账户。
补充一点:
FTP分为主动连接和被动连接,Filezilla的21端口是不能被转发出来的,将21端口转发出来以后,被动连接就会变成主动连接,Filezilla是不支持主动连接的。将21端口转发出来以后就会发生积极拒绝的情况。
504 MODE Z not enabled
这个错误回显就是了。有些人把linux的21端口出于安全考虑转发到高端口也会发生这种情况。
0x03 操作演示
确认服务器运行了Filezilla,并且开启了14147端口,步骤如下:
1. 找Filezilla目录,找不到的话就猜吧,猜不到就是无权了。
FileZilla Server interface.xml(包含了管理信息)和FileZilla Server.xml(包含用户信息)
FileZilla Server.xml 内容类似如下图:
FileZilla Server interface.xml 内容类似如下图:
2. 登录大马(WebShell) 进入FileZilla Server interface.xml 文件查看管理员的密码
3. 寻找有上传点的目录,然后上传lcx.exe
4. 在独立IP的服务器上运行lcx监听并转发端口
PS:netstat -ano 查看开启的端口
lcx.exe -tran 14148 127.0.0.1 14147
- 1
5. 接着我们在我们本地机器上,通过 FileZilla 的服务端程序,来连接它!地址填写,目标地址端口为转发后的14148 端口,密码为空!
注:我这里的配置文件是直接下载的,有很多时候服务端会连不上,是因为自己的Filezilla和服务端的Filezilla版本不一致
6. 成功连接,现在我们来添加用户,并将我们的分享目录改为 c:\ 盘,并赋予足够大的权限!
7. 在拥有账户和 c:\ 控制权后,我们再通过 FileZilla 的客户端来进行正常连接!我们可以看到成功连接!
8. 现在,我们就用自己准备好的cmd客户端,替换 system32 下的 sethc.exe ,并选择 覆盖 !
9. 最后我们来通过 远程桌面来进行连接!在登录界面,我们连续按 5 下 shift 键,可以看到成功调出 cmd 的命令客户端!
10. 我们来添加一个用户,并将其提升为管理员权限!
-
net user secist
123 /add
-
-
net localgroup administrator secist /add
- 1
PS:最后成功获得该服务器的控制权限!
参考链接:
http://www.secist.com/archives/586.html
https://www.jb51.net/hack/554412.html
https://blog.51cto.com/jzking121/1759093
0x04 拓展知识
2008系统权限比2003严格一点,导致系统文件是不能修改和删除重命名,这里是没有办法利用 。如果遇到不能提权的时候,可以使用如下几种提权思路。(拓展知识部分为了偷懒,直接是原封不动的复制:https://blog.51cto.com/jzking121/1759093)
提权的思路就以下几种:
1. 通过FTP去篡改他桌面上快捷方式,路径指向给修改到我们的恶意程序。(比较被动)不推荐
2. 上传利用到2008启动项 目录里,c:/users/administrator/appdata/roaming/microsoft/windows/start menu/programs/startup/
但是需要服务器重启后,为了提高成功率,我本地搭建个差不多一样的环境测试一下:写个加帐号的批处理,用BatToExeConverter给转成exe放到测试环境里
直接强制重启
需要管理员登录系统,才能触发。还是有一些被动,一时半会管理员也登陆不上。。。。
只有用第三种了。
3. 替换system系统服务程序,进行提权。
利用ASPXSPY查看下,找启动方式为auto的,这里就替换vmtools的程序vmtoolsd.exe,当然也可以替换其他的比如mysql(降权就算了),sqlserver等服务,记的再替换回来。
然后使用刚出来的webdav漏洞BSoD.exe使服务器蓝屏重启,重启完以后成功添加帐号temp
记的登录系统后,替换的服务是停止状态,把vmtoolsd.exe给改回来,服务给启动恢复原样。
本地测试的时候,可能会出现,重启完后替换的程序没有执行,这时候可以考虑一下把利用程序和替换的程序,绑成一个,测试也可以成功。
由于没有杀毒软件,或者WAF才如此顺利,可能会遇到的环境会更复杂。