By:rain[918x] ------------------------------------------http://www.918x.com
注入的發展給webshell的研究提供了孕育的環境,asp系統的上傳漏洞,尤其是使用廣泛的dvbbs的上傳漏洞給webshell快速發展,另外,下載默認數據庫或備份數據庫,然後利用後臺的數據庫備份得到webshell也是非常重要的入侵的手段,尤其是dvbbs數據庫的表dv_logs的設置,簡直讓md5形同虛設。
Webshell權限的提升的研究,一下子成爲擺在衆多web攻擊愛好者的難題。最近經常看到有人問,得到了webshell,可是由於種種限制,不能得到權限,或者達不到旁註的目的,請求辦法。
記得一位牛人說的話:只要有webshell,我就能獲得管理員權限。
鄙人沒有這麼強,我只是根據我實際的入侵經驗給大家談談虛擬主機的權限,錯誤與不足之處請大家指出,歡迎來我的網站和我討論(http://www.918x.com)。本文部分得到歲月聯盟HaK_BaN的幫助,在此表示感謝。
在入侵中以下幾種情況不屬於我們探討的範圍。
可以跳轉到任意目錄並可寫可執行;可以修改C:/Program Files/serv-u/ServUDaemon.ini;可以成功運行“cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps”提升權限的。可以成功用綁定木馬的類似程序替換相關程序或服務。
好了,這裏我們使用的木馬主要是老兵的asp管理6.0,輔助的是砍客的C/S ASP木馬。(這兩個木馬配合使用效果要比海洋好。)
一般虛擬主機是這樣設置的:系統的每個分區禁止everyone訪問的。每個網站用單獨的iis用戶,例如,iis_www.target.com。一般虛擬主機設置這個用戶是隸屬guest組的,權限很低的。只能訪問特定的文件夾。這就導致了網站目錄不能跳轉,你只能訪問本網站所在文件夾。
但是我要強調的是,雖然禁止了C盤的everyone訪問,但是大多數系統的C盤子文件夾沒有繼承父文件夾的限制,於是,我們可以手動的訪問(注意:自己添加路徑再轉)C:/Documents and Settings和C:/Program Files,這個對入侵提升權限非常重要。
我們可以訪問C:/Program Files/serv-u/ServUDaemon.ini,但是serv-u的利用太廣泛了,一般的管理員都知道設置serv-u文件夾的權限,一般是不能修改的。
我們還可以手動訪問並下載C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere下的*.cif文件,進而破解出pcAnywhere的用戶名和密碼來遠程登陸。也可能出現管理員登錄後我們就上不去,管理員離開後會把桌面鎖定。這裏老兵(http://www.gxgl.com)給我們提供一個解決思路(http://www.918x.com/showart.asp?art_id=47&cat_id=5)。
如果手動可以訪問c:/php,c:/prel等,說明我們可以使用php,cgi等的webshell。具體這期《黑客X檔案》裏angel的文章就很成功地突破了限制,我就不多重複。
給angel補充一點:如果能看見C:/Program Files/Java Web Start/,可以試試用jsp的webshell,我遇見過一次,但是權限也不是很大。
用砍客的木馬,我們可以看到有serv-u的運行,並且知道他的絕對路徑,很自然可以想到serv-u的權限的提升。這裏就要涉及到三點:1,上傳溢出程序。2,cmd的可用。3,iis單用戶要有運行程序的權限。對於第一點,老兵的木馬涉及到Scripting .Dictionary(數據流上傳輔助組件),Adodb .Stream(數據流上傳組件),SoftArtisans.FileUp(SA-FileUp 文件上傳組件),LyfUpload.UploadFile(劉雲峯文件上傳組件),Persits.Upload.1(ASPUpload 文件上傳組件)一般來說是可以上傳,沒有問題的。(如果還不行,我推薦使用littlepigp無組件上傳,hackbase.com有下的。)對於第二點,wscript.shell組件的使用非常重要,當出現了“拒絕訪問。 ”,我們則可以知道對方的cmd不允許訪問,這樣我們可以上傳一個cmd.exe來達到我們使用cmd的目的。但是當我們看見“ActiveX 部件不能創建對象”,說明我們完全不能使用cmd,入侵也就陷入了困境。對於第3點,則基本沒有辦法,例外的還是FTA分區的利用,權限再低,在FTA分區還是可以輕鬆運行程序的。
我們經常講黑客要有發散性思維,不能總是思維定勢。其他的一些突破方法,無非是基於對主機其他內容的利用來達到的。比如,有人利用flashfxp裏的配置文件來獲得一些密碼基本信息。我們同樣可以下載CuteFTP 的配置文件來替換本地文件也能達到相同的目的。
再稍微談一下那篇“將asp木馬權限提升到最高”裏的方法,一般情況下,在我們可以使用cmd的前提下,雖然服務器支持FSO,但我們是沒有訪問C:/Inetpub/的權限的,這樣我們自然不能用“cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps”這句來提升權限的。如圖:
 |
如果權限設置得太嚴格,唯一的通用的辦法就是在“c:/Documents and Settings/All Users/「開始」菜單/程序/啓動”寫入bat,vbs等木馬。等主機重啓或者你ddos逼它重啓,來達到權限提升的目的。
虛擬主機的設置有的是十分變態,比如:有些主機允許上傳,但是不允許修改和刪除;有些主機的Program Files被改爲很變態的名字;有些主機的serv-u竟然是隸屬guest組的用戶來運行的;有些主機的殺毒做得十分驚人,n重加密過的種種木馬難逃殺手,BT到了極點。
沒有絕對安全的軟件系統,所以我相信也沒有絕對安全的虛擬主機,運氣是一小部分。你的思維確非常重要。同樣獲得webshell,爲什麼高手可以成功實現權限的提升,你不行?我認爲其實關鍵是發散的思維方式,而不是技術。
希望大家踊躍給我意見,Rain[918x]叩首!