46 12
发新话题
打印

[讨论]一次渗透的经过

[讨论]一次渗透的经过

议题作者:逝水
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

   昨天正在无聊的时候,QQ上的好朋友发过来一个webshell,说是搞了快一个星期了一直在等服务器重起。问我不知道有没有好办法搞定。目标是提权达到入侵指定的站,说白了就是旁注了。
   大致的了解了一下这个服务的情况,绑定了10来个站,拿webshell的站是用的动易的系统,很容易就拿到了webshell,服务器有4个盘NTFS格式。C:\Docume~1无法访问,跳转了几个目录都无法访问。C:\Progra~1这个可以访问,但发现了这个服务器上装了瑞星,还装了一个Kaspersky Lab。汗!!。没有发现有servu的影子哦,但是也没见到其他的FTP软件在上面,怪哦。各个虚礼站都有自己的独立IIS用户,虚礼目录建在c盘。可幸的是那wscript.shell组建没有删,郁闷的事是,几个提权能利用的目录都没有执行权限,而且我朋友说这个 wscript.shell虽然说没删,但是也执行不了cmd。查看服务的模块也打不开,那我们只有试试服务器的脚本环境了。c:\php,c:\perl,C:\Program Files\Java Web Start\都显示路径找不到哦,只好在webshell上传了php,cgi和pl,发现都没有被执行。难道就真的没择了?wscript.shell没有删的站提权的机率是很大的。暂且先把这个webshell放一边吧,我们先去目标站看看吧,原来是一个游戏交易站,呵呵。主页很简单就是一个电信和网通的选择入口。查了下我们搞的是这个电信的服务器。网站做的还不错,也不纯在什么大的漏洞,几种常见的方法都试过了,包括googlehacking。不过也正常,一般游戏娱乐类的站直接从主站下手是很吃力的。最后打开主页的源代码看了下。发现有ASPX的连接页面,也就是说这个服务器是支持.net的,呵呵,马上跑到我们先前的那个webshell里,传了一个aspx马上去。嘿嘿,正常访问哦,也就是说我们现在是user的权限了。
  因为一个服务器来说是不可能不装FTP的,要不给所有用户都开一个终端?这也不现实吧。既然这个管理员能在一个服务器上装瑞星和喀吧,那就有很大可能把一些重要的程序快接方式都给删除了吧,pcanywhere想不要想去下载他的CIF文件了,。唯一还植得一试的就是servu了,毕竟这个有本地权限提升的bug啊。呵呵,而且我们也多牛人们也都很重视这个漏洞的利用哦,写了各个版本的提升exp,嘎嘎,也给我们这些小菜们开了不少方便之门哦,把还等什么,直接传了一个lake2大哥写的aspx版的servu上去了。OK,成功运行。用户密码和端口全部都默认吧。要是他真的改了我也没办法了,PS:好象说读注册表可以找些信息出来。偶太菜了还没成功过。有成功的朋友一定要告诉我哦^-^.我们来运行命令吧。net user>C:\vhost\xxx.com\www\1.txt。执行返回了一些信息,赶快去看看有没有1.txt吧。刷新了几便还是找不到哦。郁闷列。。。。是不是真的没得完了??正在我郁闷的时候,朋友告诉我说这个可以成功执行命令,而且他已经加了一个管理员用户进去了,我也半信半疑的net user然后net localgroup administrators ,去连一下吧!~~昏,连不上哦,后来才知道是终端端口已经改了。。改成37192了,在连一下IP:37192恩,这下进来了,输入帐号密码。“终端连接超过最大限制!”汗!~
    换句话说就是我建的用户是合法了。已经建立成功了,不然会出现帐号密码错误的提示的,但是为什么net user >C:\vhost\xxx.com\www\1.txt却没有显示呢?难道这个不支持回显吗?还请大牛们指点哦,不关了。我这次的目标是拿站就可以了我们来cacls d: /E /T /G everyone:F>C:\vhost\xxx.com\www\1.txt,不行!不要回显吧直接cacls d: /E /T /G everyone:F。点一下D:呵呵,成功了,同样的方法把C盘也设置成everyone control了,好了在vhost目录里找那个目标站吧,因为目录和对应的站之间没有很明显的联系,于是只有用海洋的文件搜索功能了,搜了好长时间都没搜到,不会吧,都到了这个份上了,你还玩我??朋友说他是不是使用了域名转向了?要真是那样我还不吐血啊!~找了10几分钟了,现在可以确定在vhost目录里没有这个站,又退回到C盘根目录,看看看到一个www ,进去以后才知道这个管理员还装了Cygwin。里面有一个host目录,编辑default.aspx,这才是我们要搞的那个站啊,他居然把这个站单独分在另一个文件夹里,真BT啊。哎!~到这里终于完成了这次渗透了。
   总结一下,此次渗透也没什么技术性可言,说白了还是servu的故计重演。呵呵。此次渗透运气成分占了一定比例,原本不想那出来献丑,朋友硬让我写出来,哎,就当是献给那些和我一样的菜鸟们吧^-^

TOP

帮你精简一下:上传SERV-U的ASPX的程序在有的时候可以提升权限。

下回写文章的时候分个段吧,这样一大段话,看起来很困难~~

TOP

这个站是我给逝水兄的,上面的wscript.shell这些组件我用海洋的组件探针看过,标明可以使用,但是打开就是不行,提示权限不足,晕,那我就自己传一个吧,传上去还是不能执行,郁闷!没有可执行的目录!先判断支持不支持ASPX我是直接 telnet IP 80看的,大胆的假定是2003,默认支持ASP。NET,也就是ASPX,所以传了ASPX提权马,逝水兄这招判断也不错!不过比我那招要稳!最后还是没能拿到3389登陆上去,主要是不想让他重起~超出最大连接数那我有点郁闷,是不是登陆时候忘记点注销的问题!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

这个站,你直接传个后门或者直接用个NC,用SERV-U执行了不是也一样吗,用终端其实没有多大的意义

TOP

大哥,这些办法我早试过了,ASPX下面的提权程序不能直接运行程序,不然我早想弄个反弹马解决他,用得了那么麻烦么!就因为不可以执行程序,才出来后面的东西!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

你说不可以直接运行程序??那net.exe 是怎么执行的呢?没搞懂了
不可能吧?
我直接用 nc.exe -e cmd.exe -vv -l -p 5555
的命令,可是成功监听哟~~

TOP

汗,我也不知道,反正没成功呢!这个主机设置太怪了,我上去以后要好好研究下,发出来给大家看看!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

。。。。。没什么好怪的。判断是什么版本的FTP,直接FTP连接一下,看看BANNER信息就知道了。至于系统的版本,既然已经拿到了WEBSHELL,。直接就可以看了吧?或者TELNET 80看下。至于SERVU提升权限。越过不说。还有终端提示 超过最大连接数  。WINDOWSNT系统默认终端只能连接2个人,第三个人连接的话就会有这个提示。
用命令 reset session 0。默认登陆的时候,SESSION都是按顺序的,比如第一个登陆的人是0,第二个是1。以此类推。复位一个SESSION就可以登陆终端了。。。。。。

TOP

楼上的,我记得只有2003是有登陆人数限制吧,而且是3个,不是两个!你即便知道FTP是5.0的又怎么样,你不实验能肯定有漏洞么!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

[s:75] 既然有权限执行系统指令了。。。。还搞不下么。。。难道一定要上终端么?晕的一个NC反弹 把他用户都T了不就得了么~~~
Www.93.Gd 專業IDC站點
Www.Hack520.Co.kr

TOP

。。。。。。。。。。楼上的说这话,我简直无言,假如说有防火墙吧,你能加帐号,但登陆不上去,而且方法都行不通,那下面还不可以运行程序,你给我个好方法,WIN2003在命令行下注销的命令麻烦不能不能说一下,呵呵!都说不能运行程序,NC反弹啥啊!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

查看用户:quser
注销命令:logoff ID号

TOP

你先搞清楚再回答吧!查看用户是net user 查看终端登陆用户是query user  还有你怎么知道ID号?都说了不能在那执行程序!
成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

TOP

2003是有登陆人数限制是2个
bin.3206488.com

TOP

加上本地登陆是3个

如果用NC反弹过来的cmdshell不是系统权限  好象query user 和 logoff ID 是没什么希望了!

TOP

看到Serv-U我就知道这篇已经不值得看了,除了Serv-U,能不能提出点创意的提权方法啊..... [s:36]  [s:36]  [s:36]  [s:36]
此ID为马甲.多人使用.

TOP

[s:41] NC真不能运行就用那个SERVU.ASPX来执行这个
logoff 1
logoff 2
logoff 3
logoff 4
logoff 5
logoff 6
logoff 7
我不信你T不到一个,, [s:87] 一路下去总有个会被你T了的……

TOP

提示: 作者被禁止或删除 内容自动屏蔽

TOP

引用:
这里是引用第[12 楼]寂寞宝贝2006-04-26 06:54发表的:
你先搞清楚再回答吧!查看用户是net user 查看终端登陆用户是query user  还有你怎么知道ID号?都说了不能在那执行程序!
你让人家搞清楚再回答!?呵呵``query user是查终端的?quser就不能查了!?还有quser或者query user查看终端显示的连接用户就能看见ID号了``上面都说好多次了本地NC反弹就行了!!何必这么麻烦!

TOP

引用:
这里是引用第[10 楼]寂寞宝贝2006-04-26 04:13发表的:
。。。。。。。。。。楼上的说这话,我简直无言,假如说有防火墙吧,你能加帐号,但登陆不上去,而且方法都行不通,那下面还不可以运行程序,你给我个好方法,WIN2003在命令行下注销的命令麻烦不能不能说一下,呵呵!都说不能运行程序,NC反弹啥啊!
不能运行程序?楼主的意思是net.exe就不是程序了?

TOP

呵呵,不好意思啊。邪恶八进制一直是一个高手云集的地方,在没写这篇文章以前我就和寂寞说过了,我们的方法也许在高手看来有点多此一举了,但是我也是在想不出别的好办法了。具体的情况寂寞宝贝比我了解。他说了试过很多方法,都不成功,大家说的方法估计他也用的差不多了吧,这个ASPX版的SU不支持命令回显,而且到现在那个机器还是终端超过最大显示。这明显的是做了安全策略的,所以就不纯在LOGOFF的问题了。我在维护我们学校的主机的时候就是这样做的。呵呵。用nc 弹到本地应该可以成功,但是寂寞说他上面好象不支持运行别的程序,就说运行没效果,这可能和杀毒有关把,我说了他装了瑞星和喀吧!~所以我们就没打算给他装后门,直接CALCS去找目标完事。用NC弹回来在CMD里也不见得比我们在webshell里找的快哦,呵呵。

TOP

引用:
这里是引用第[1 楼]sobiny2006-04-25 23:48发表的:
帮你精简一下:上传SERV-U的ASPX的程序在有的时候可以提升权限。

下回写文章的时候分个段吧,这样一大段话,看起来很困难~~
呵呵,是啊,看的眼睛疼,,下次一定注意^-^

TOP

query user >c:\documents and settings\All Users\Documents\1.txt
查看ID,然后logoff

TOP

shutdown /r 命令重启一下系统,所有的终端用户都被复位了.
或者你写个批处理呢?
echo query session>c:\1.bat
echo logoff administrator>c:\2.bat
可以执行wscript.shell,有管理员用户,可以用psexec程序以管理员身份来执行query和logoff命令啊
每个人都有属于自已的世界,人生因此而精彩,HACK就是我的世界!

TOP

引用:
这里是引用第[12 楼]寂寞宝贝2006-04-26 06:54发表的:
你先搞清楚再回答吧!查看用户是net user 查看终端登陆用户是query user  还有你怎么知道ID号?都说了不能在那执行程序!
我还是那句话, 既然有权限执行系统指令了,没有什么做不到的。 想T人?我 告诉你吧 。  

好好好,不让运行程序我也能T,用SUEXP ASPX版来执行quey user >zhu.txt

打开zhu.txt

自己瞄两眼,看下ID是多少

然后就。。。。接下来怎么做。。鬼会告诉你的。呵呵,实在搞不定短信M我下,我帮你搞定 ,反正也是闲着无聊。
Www.93.Gd 專業IDC站點
Www.Hack520.Co.kr

TOP

 46 12
发新话题