“变态”虚拟主机提权另类玩法

纹身青年岳飞

最近迷恋上了灰鸽子，服务器搞过不少了，就是很少捣鼓个人电脑，于是花了一天时间配置了个免杀的鸽子来玩玩。可惜我的机器是校园网代理出去的，没有公网IP啊，没办法，弄台服务器用用吧！\r\n\r\n最近留意到不少的网站都是独立服务器的，心里痒呀，于是就把这次的目标对准了一些中学的网站，选目标的时候最好是选一些有钱的中学，没钱的学校估计是买虚拟主机了，那渗透起来就很费劲了。我百度了一下这几个字：“中学 管理登陆”，我就不爱搞那些后台隐藏得很好的站，选中了安徽省的一家中学，内容还是比较丰富的。\r\n\r\n我们进后台看看，原来使用的是LeadWit WS 3.0系统（领智网站管理系统3.0）。据我所知，3.0版的领智有处地方存在注入漏洞，后来上网百度了一下的确有漏洞，存在问题的文件是User/Soft.asp?ChannelID=1中的ChannelID这个变量，这里简单贴出有问题的代码：\r\n\r\n

1. block = Replace(block,\"{$Info}\",GetTemplates(Request(\"cnlid\"),Request(\"tmptp\"),request(\"Info\")))\r\nCase Else \r\n? block = Replace(block,\"{$Info}\",RePlace(request(\"Info\"),\"%20\",\" \"))\r\nEnd Select\r\nif Session(\"ComeURL\") = \"1\" then\r\nblock = Replace(block,\"{$ComeURL}\",Request.ServerVariables(\"HTTP_REFERER\"))\r\nelseif Session(\"ComeURL\") <> empty then\r\nblock = Replace(block,\"{$ComeURL}\",ComeURL)\r\nelse\r\nblock = Replace(block,\"{$ComeURL}\",\"javascript:history.go(-1)\")\r\nend if\r\nSession(\"ComeURL\") = empty\r\nLZ8.footer(block)\r\nEnd Sub\r\n\r\nFunction GetTemplates(P_ChannelID,P_TemplateType,P_LanguageID)\r\ndim SQL,RS\r\nSQL = \"Select LanguageContent from [LZ8_Template] where Deleted = 0 And TemplateType = \"& 1;create \" And ChannelID = \"& P_ChannelID

复制代码

\r\n\r\n这个变量没经过任何过滤就放进SQL语句里查询了。大家可以回去温习一下SQL注入，这不是我们今天要讨论的重点。我们直接用NBSI注入就是了，这里注入的时候需要手工添加LZ8_Admin这个表名，因为NBSI里面没这个表名数据。我们很快就得到了管理员的账号信息，用md5crack2.3来跑第一个用户的密码，呵呵，运气不错，跑出了一个纯数字的密码，利用得到的密码直接进入后台。\r\n\r\n这个网站的后台其实也是不堪一击的，虽然禁止了直接上传ASP木马，但可以直接备份图片木马，大致过程就是先把ASP木马改名为.gif后缀，再用数据库备份把木马备份成为某个asp文件。为了照顾新手，还是在这里截个图来讲解一下，点击确定就可以备份至网站的根目录下了。我用的是海洋2006eval版，拿出客户端连接一下，成功上马了。先看看目标主机什么情况吧！点击服务器相关数据，我们可以看得很清楚，搞了半天才知道这又是虚拟主机，都到这里了，只好继续了（否则有骗稿费的嫌疑）！\r\n\r\n虚拟主机上的每个盘都打不开，拒绝访问！再试试能否执行CMD命令，居然可以执行！狂喜ing！再看看对方有没有Serv-U。看来拿下这台服务器还是有希望的。我们再跳转目录到Serv-U的目录下看看，发现它的版本居然是4.x的，估计没什么问题了，我们可以上传个su.exe来提权。\r\n\r\n把su.exe传上去后，按格式执行su.exe “net user morephaze 888888 /add”，竟然没出现什么回显，不太对劲呀！再用net user看看，居然没有morephaze这个用户，看来管理员可真是下了功夫，不过低版本的Serv-U他怎么不换掉呢？思考中……\r\n我突然想到对方的默认密码是不是改掉了！还是先验证一下我的想法看看。把C:\\Program Files\\Serv-U\\ServUDaemon.exe下载回来查看一下密码。居然连默认密码都没改？那为什么会出错呢？难道打了Serv-U的补丁？我们回忆一下Serv-U的漏洞原理，许多溢出都是通过连接本地端口来实现提权，慢着，本地端口？我立刻用netstat –an查看了一下端口。开了不少端口，就是没发现Serv-U的默认43958端口，我的猜想很可能是对的，管理员应该是把连接端口改了。知道了这一点，我们就能找到突破的方法了，呵呵。\r\n\r\n我们知道Serv-U的提权原理是连接本地的服务端口，但现在到底改成什么了呢？我们不需要一个个去找，把上面的网页的源代码打开，只要用记事本查找“127.0.0.1:”这串字符就行了。为什么呢？因为Serv-U开的是本地端口呀，127.0.0.1就是对应本机地址了。结果到底哪个是呢？我们知道像3306、1031这些低端端口一般会被某些服务所占用，而那个127.0.0.1:60482则比较敏感，我猜就是它了！验证一下吧。\r\n\r\n我们传个ASP版的Serv-U利用工具上去，将有灰底的框框改为60482，下面就填我们要执行的命令，然后提交！再回去看看用户添加了没有。可以看到tsinternetuser已经在管理员组了。到此为止，我们还有什么不能做的呢？呵呵，开3389就是信手拈来的事了。