议题作者：风蓝
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

以下几个思路多半运用在韩国服务器和管理员身上.

1.这个思路只是针对一些品牌服务器的,像Dell,Compaq(暂时只发现这2个),由于这种品牌的服务器一般都有自身的服务,又由于一般这些服务程序所在的目录都是默认权限,所以我们可以利用webshell的更改文件名和上传文件名轻松将木马上传上去后等待服务器的下次重启运行.思路里提到的具体文件名大家可以自己找一下,因为有些服务器的文件名不太一样,我手上也没有现成的shell.

2.有些大站的管理员为了偷懒,习惯写个bat脚本并自动执行备份网站的任务,为此我们只需要上传个后门程序,并加路径/文件名加到那个bat里去就可以了~当然,需要注意的是你必须能有良好的思维和运气来判断那个bat就一定是管理员必须会执行的.

3.利用管理员好奇的特性来引诱他点击你的后门程序,通常我遇到没法提升权限的情况时,我会将我的马马丢到他的c盘根目录下,如果C没写权限的话就可以丢在D盘,或是你认为他会一眼查看到的目录.这里我再说一下文件名的艺术~如果你就那样丢上去一个xxx.exe,图标是白色的那种,我像管理员点击他的可能性会很底.我一般是这样做的(主要用在韩国人上,因为他们太容易上当了..),先找到他们的公司名,确实找不到就找一个很出名的大公司的名字为文件名,然后生成后门时将图标改成他们游戏的图标或是安装程序的图标。
这个思路还有一个好处就是,有些管理员猜疑心太重,不会在服务器上运行,而直接把它down到自己的电脑上去研究,可想而知,那人要是技术不好的话整个公司的员工机加服务器群组你都有机会了.当然你的马必须够牛X~够隐蔽,不然一下就被杀了,也就白忙了。 [s:58]  [s:58]

上面的思路都是我这几年来搞国外站时常用到的~希望对你们有些启示~

[s:79] 是的，确实有用，你刷了几年库的经验都分享出来了。我觉得韩国管理员也特别的猪，喜欢运行一下，那东西是啥玩意，不过也有厉害的，什么马都会清，我可郁闷死了.真不知道该放啥好了。。。。。。。

你的第一点，我没用到过，在2003系统中尽管有上述服务，也是木有权限做以更改的，而2000系统，C盘默然是EVERYONE权限。。。所以呢，能替换的东东也不止你那2个玩意了，不过替换那两玩意还算是隐蔽些的，发现的几率也相对小些. [s:82]

我经常看到一些黑客谈到替换系统服务以达到提升权限的目的，但是我所知道的是系统服务程序都在system32下,默认情况下users/guest权限都没有办法修改或写入该目录文件的。请问这个如何实现？或者是一种假的方法？

[s:75] 不一定要选系统服务！在安装一部分软件的时候，会注册成服务的！

C:\WINNT\system32>echo aaa>a.exe

C:\WINNT\system32>cacls a.exe
C:\WINNT\system32\a.exe BUILTIN\Users:R
                BUILTIN\Power Users:C
                BUILTIN\Administrators:F
                NT AUTHORITY\SYSTEM:F

C:\WINNT\system32>echo bbb>b.exe


C:\WINNT\system32>copy b.exe a.exe
改写 a.exe 吗? (Yes/No/All): a
拒绝访问。
已复制      0 个文件。

C:\WINNT\system32>whoami
aaa

C:\WINNT\system32>net user aaa
用户名            aaa
全名
注释
用户的注释
国家(地区)代码      000 (系统默认值)
帐户启用          Yes
帐户到期          永不

上次设置密码        2006/3/26 上午 11:33
密码到期          2006/5/8 上午 10:21
密码可更改         2006/3/26 上午 11:33
需要密码          Yes
用户可以更改密码     Yes

允许的工作站        All
登录脚本
用户配置文件
主目录
上次登录          2006/3/26 上午 11:34

可允许的登录小时数    All

本地组会员         *Guests          *Users
全局组成员         *None
命令成功完成。


以上是我做的实验，说明默认创建的文件也是没权限修改的。就算第三方的服务有权限替换，那么也说明该服务没有运行，但没有运行怎么重启就能自动运行了呢？

引用:

这里是引用第[3 楼]的蜀山剑客于2006-03-26 11:27发表的：
[s:75] 不一定要选系统服务！在安装一部分软件的时候，会注册成服务的！

请举个实例

我理解成这样，比如第三方的注册服务，服务程序物理路径是普通用户可写的目录路径，因为该服务没运行，所以我们可以替换掉，当用户再运行该服务就得到system权限了。如果这么说的话，应该和重启系统无关了！

抱歉！没看清楚阁下的话！我只看到“但是我所知道的是系统服务程序都在system32下”话这下结论！我便说很多第三方软件服务不在此目录下！忽略了“默认情况下users/guest权限都没有办法修改或写入该目录文件的”这句！确实是这样的！guests组用户是不能直接替换服务提权限！
以下是在下的结果
以下在guests权限下：
C:\Program Files\Rising\Rav>ravtask.exe

C:\Program Files\Rising\Rav>rename ravtask.exe ravtask1.exe
拒绝访问。

C:\Program Files\Rising\Rav>




以下在administrators权限下

C:\Program Files>cd rising

C:\Program Files\Rising>cd rav

C:\Program Files\Rising\Rav>ravtask.exe

C:\Program Files\Rising\Rav>rename ravtask.exe ravtask1.exe

C:\Program Files\Rising\Rav>dir ravtask.exe
驱动器 C 中的卷没有标签。
卷的序列号是 3475-2578

C:\Program Files\Rising\Rav 的目录

找不到文件

C:\Program Files\Rising\Rav>dir ravtask1.exe
驱动器 C 中的卷没有标签。
卷的序列号是 3475-2578

C:\Program Files\Rising\Rav 的目录

2006-03-25  11:32        114,688 ravtask1.exe
          1 个文件      114,688 字节
          0 个目录  3,900,616,704 可用字节

C:\Program Files\Rising\Rav>

引用:

这里是引用第[2 楼]的l0pht于2006-03-26 11:21发表的：
我经常看到一些黑客谈到替换系统服务以达到提升权限的目的，但是我所知道的是系统服务程序都在system32下,默认情况下users/guest权限都没有办法修改或写入该目录文件的。请问这个如何实现？或者是一种假的方法？

我这里提到的几个服务都是在C盘根目录下的，并非是在system32目录下~像hack520说的那样，win2000默认下guest有读取，修改，执行的权限，win2003我则不太清楚了~

而一般一个web上只有一个站的服务器，不会有几个人去设置他的磁盘权限的，特别是韩国人

引用:

这里是引用第[8 楼]的风蓝于2006-03-26 15:58发表的：


我这里提到的几个服务都是在C盘根目录下的，并非是在system32目录下~像hack520说的那样，win2000默认下guest有读取，修改，执行的权限，win2003我则不太清楚了~

而一般一个web上只有一个站的服务器，不会有几个人去设置他的磁盘权限的，特别是韩国人

如果是c盘根目录就可以了，但是又有新的问题，如果你以guests权限替换服务程序是没问题，但前提是该服务程序没有运行！否则guests权限也是不可能替换的了的。还有就算服务程序没运行被你替换成功了，但是你怎么能保证重启系统系统就能自动运行该服务呢(根据前面的情况说明服务程序默认很可能就是停用状态了而非自动)？

win2000下程序运行也是可以更改文件了.我们只需要把文件名改了再上传一个同样文件名的文件上去就可以了.

楼上的三点我是经常用到的.变型很多.
说来说去.一切均以收集信息为核心.

没注意到这个win2000的设计缺陷，试了下果然可以。如果在win2003就不行了吗？

2003默认的权限都是很安全的,没法做以更改,所以对付2003替换服务这法不是很行,除非是管理员有意设置某个目录有修改权限.所以我讲2000比较好搞点~ 就是这个意思l0pht还有不明白的地方,可以继续跟帖.

谢谢，目前没疑问了。呵呵。。