[讨论]还是提权问题 权问题, 讨论

s37su37

[讨论]还是提权问题
议题作者：zhuziliu
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

目标：拿下某站点或主机权限
主机类型：win2003
权限描述：
目标站点可注入，南方数据8.0修改版，但是管理员MD5查询不出来，暴力就免了。
主机支持asp、aspx、php，已拿下其中几个站点，但是目录无法跳转，只能浏览当前站点目录，所有站点放于d:\wwwroot目录下。
D:\MYSQL目录无法浏览，版本4.0.18，c:\windows\my.ini无root密码，有某站点MYSQL账号密码，但没有Insert和Delete权限，无法用Mix.dll之类的提权方法。
没有pcanywhere，3389端口为53721，但无法连接，原因不明，SERVU6.0，localAdministrator默认密码已修改，Documents and Settings和Program Files无法浏览。
只能执行普通的命令。比如:net user ipconfig netstat -ano 等。不能添加删除用户，可在当前站点上传EXE文件，无法执行。
主机未安装任何杀毒软件。

Active Connections

Proto Local Address     Foreign Address    State
TCP  0.0.0.0:21       0.0.0.0:0       LISTENING
TCP  0.0.0.0:80       0.0.0.0:0       LISTENING
TCP  0.0.0.0:135      0.0.0.0:0       LISTENING
TCP  0.0.0.0:445      0.0.0.0:0       LISTENING
TCP  0.0.0.0:1026      0.0.0.0:0       LISTENING
TCP  0.0.0.0:3306      0.0.0.0:0       LISTENING
TCP  0.0.0.0:8080      0.0.0.0:0       LISTENING
TCP  0.0.0.0:33000     0.0.0.0:0       LISTENING
TCP  0.0.0.0:33001     0.0.0.0:0       LISTENING
TCP  0.0.0.0:33002     0.0.0.0:0       LISTENING
TCP  0.0.0.0:33003     0.0.0.0:0       LISTENING
TCP  0.0.0.0:53721     0.0.0.0:0       LISTENING
TCP  127.0.0.1:3306     127.0.0.1:4285     TIME_WAIT
TCP  127.0.0.1:3306     127.0.0.1:4289     TIME_WAIT
TCP  127.0.0.1:3306     127.0.0.1:4300     TIME_WAIT
TCP  127.0.0.1:42424    0.0.0.0:0       LISTENING
TCP  127.0.0.1:43958    0.0.0.0:0       LISTENING

已经启动以下 Windows 服务:

  Application Experience Lookup Service
  ASP.NET State Service
  Automatic Updates
  COM+ Event System
  Computer Browser
  Cryptographic Services
  DCOM Server Process Launcher
  DHCP Client
  Distributed File System
  Distributed Link Tracking Client
  Distributed Transaction Coordinator
  DNS Client
  Error Reporting Service
  Event Log
  Help and Support
  HTTP SSL
  IIS Admin Service
  IPSEC Services
  Logical Disk Manager
  MySQL
  Persits Software EmailAgent
  Plug and Play
  Print Spooler
  Protected Storage
  Remote Procedure Call (RPC)
  Secondary Logon
  Security Accounts Manager
  Serv-U FTP Server
  Server
  Shell Hardware Detection
  System Event Notification
  Task Scheduler
  Terminal Services
  Windows Management Instrumentation
  Windows Time
  Wireless Configuration
  Workstation
  World Wide Web Publishing Service


貌似4.0.18的mysql可以溢出？我找到一些代码，编译的时候缺少库文件，又有些大大说那是linux的。。。。。。

不懂各位还有什么高招？有兴趣的话可以PM我。

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 软件项目外包


wangle
晶莹剔透§烈日灼然

德军1941

主机支持aspx、php 默认权限应该比asp高吧 有执行程序的权限没
SERVU6.0，localAdministrator默认密码已修改 能不能跳到SERVU目录 下载本地查看
帖子41 精华0 积分120 阅读权限40 在线时间89 小时 注册时间2005-6-17 最后登录2008-6-20 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

tyyxt
晶莹剔透§烈日灼然

极速BOY

能运行命令,就嗅探它的ftp!
aspx下的cmd是user权,使用基于raw的嗅探器就可以嗅探了...
帖子18 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2007-7-20 最后登录2008-5-8 查看详细资料引用 报告 回复 TOP 赚更多的钱

上帝在堕落
晶莹剔透§烈日灼然

阿敏

上面有DZ的论坛什么的么？MS里面有root密码`` 赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然

冬冬

引用:
引用第1楼wangle于2007-07-20 13:43发表的 :
主机支持aspx、php 默认权限应该比asp高吧 有执行程序的权限没
SERVU6.0，localAdministrator默认密码已修改 能不能跳到SERVU目录 下载本地查看
没有执行权限，也跳不到servu目录。。。。

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 软件项目外包

zhuziliu
晶莹剔透§烈日灼然

TAMAMA

引用:
引用第2楼tyyxt于2007-07-20 13:49发表的 :
能运行命令,就嗅探它的ftp!
aspx下的cmd是user权,使用基于raw的嗅探器就可以嗅探了...
汗颜啊，就是没有执行权限了，普通的net命令可以运行，如果能运行我就可以放大马了。

运行提示：

运行时错误
说明: 服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止远程查看应用程序错误的详细信息(出于安全原因)。但可以通过在本地服务器计算机上运行的浏览器查看。

我用的是xsniff.exe，还有什么好介绍？

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

wangle
晶莹剔透§烈日灼然

ljquan

如果你真的要搞 可以利用社会工程学 给管理员发的信 比如附件里带个chm马
还可以忽悠管理员 说网站有问题 在后台页面上挂个马
帖子41 精华0 积分120 阅读权限40 在线时间89 小时 注册时间2005-6-17 最后登录2008-6-20 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuziliu
晶莹剔透§烈日灼然

superkingliu

引用:
引用第3楼上帝在堕落于2007-07-20 14:21发表的 :
上面有DZ的论坛什么的么？MS里面有root密码``
Discuz! 4.1.0倒是有一个，不过这MYSQL用户没有权限。

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然

brabrabra

引用:
引用第6楼wangle于2007-07-20 14:37发表的 :
如果你真的要搞 可以利用社会工程学 给管理员发的信 比如附件里带个chm马
还可以忽悠管理员 说网站有问题 在后台页面上挂个马
忽悠倒是可以，可惜目标站我并没有拿下，目前正在试同一网段的主机。。。。。。。

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

tyyxt
晶莹剔透§烈日灼然

阿豪

xsniff.exe当然不行啦,你看清楚我说的.

基于raw的嗅探,不需要system权,有user权的cmd就行了
帖子18 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2007-7-20 最后登录2008-5-8 查看详细资料引用 报告 回复 TOP

上帝在堕落
晶莹剔透§烈日灼然

yq_ryan

去后台挂个马吧，虽然不是同一站，但是先搞定这台再说撒，感觉后台挂马很有效，我自己就试过，管理的机器到现在都还每天来报到呢 赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然

wy4302

引用:
引用第9楼tyyxt于2007-07-20 17:44发表的 :
xsniff.exe当然不行啦,你看清楚我说的.

基于raw的嗅探,不需要system权,有user权的cmd就行了
找到了这个

D:\TOOLS>rawsniffer.exe

================================================================================

        RawSniffer V1.2
        Powered by shadow @2004/11/28
        my web:http://www.codehome.6600.org
        Has bugs please mail to:dreamshadow@mail.sdu.edu.cn

================================================================================

Usage:
-si 源ip   -di 目的ip    *代表所有,多项用,号分割
-sp 源端口  -dp 目的端口   *代表所有
-w 嗅探方式，1代表单向嗅探[si->di]，0代表双向嗅探[si<->di]
-p 嗅探协议[TCP,UDP,ICMP]大写
-m 最大记录文件，以M为单位
-o 文件输出
-hex 十六进制输出到文件
-unecho 不回显
-unfilter 不过虑0字节数据包
-low 粗略嗅探，丢包率高，cpu利用率低 基本0
-timeout 嗅探超时,除非你的网络状况比较差否则请不要随便调高,默认为120秒
-sniffsmtp    嗅探smtp
-sniffpop     嗅探pop
-sniffpost    嗅探post
-sniffftp     嗅探ftp
-snifftelnet   嗅探telnet，以上5个嗅探不受参数si,sp,di,dp,w,p影响.
-sniffpacket   规则嗅探数据包，受参数si,sp,di,dp,w,p影响.
-sniffall     开启所有嗅探
-install servername [-disname displayname]
  安装成服务启动 [可带启动参数,服务名带空格请用_代替,如sniffer ok->sniffer_ok]
-uninstall servername
  卸载服务
Example:
rsniffer -p TCP -dp 25,110 -o f:\1.txt -m 1 -sniffpacket
  嗅探指定规则数据抱并保存到文件
rsniffer -sniffsmtp
  只嗅探smtp，输出到屏幕
rsniffer -sniffall -dp 0 -o f:\1.txt
  嗅探smtp,pop,ftp,post,telnet保存到文件,[-dp 0]过滤无用包
rsniffer -sniffall -dp 0 -o f:\1.txt -install sniffer -disname fuck
  安装成服务启动并带参数
rsniffer -uninstall sniffer
  卸载服务
Note:
参数可自由排序组合!安装成服务模式时最好加上-unecho选项.

但是执行的时候一样出错,显然还是没有权限,啥回事？

我在本机测试,居然还有一个Are you true?(y/n)的确认，真麻烦........

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然

edchen

引用:
引用第10楼上帝在堕落于2007-07-20 19:15发表的 :
去后台挂个马吧，虽然不是同一站，但是先搞定这台再说撒，感觉后台挂马很有效，我自己就试过，管理的机器到现在都还每天来报到呢
＾-＾如果我是管理员的话是不会中的,毕竟中网马的一般只是个人PC.

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

狂封异袭
晶莹剔透§烈日灼然

牧狼

我帮他用嗅探搞定了!


结贴.......
帖子18 精华0 积分65 阅读权限40 在线时间23 小时 注册时间2007-7-20 最后登录2008-5-8 查看详细资料引用 报告 回复 TOP

wangle
晶莹剔透§烈日灼然

奔奔兔

感觉后台挂马很有效,管理员又不是白痴! 这个 cmd 权限不懂能不能把SERVU6.0的注册表中的密码和用户名导出来,虽然密码是加密的,但也是一种思路SU的纯数字密码暴力破解还是挺快的.开了8080不懂在浏览器里打上IP:8080有没有什么出来,SU,MYSQL,MSSQL 三种方法要是都走到了尽头,找找其他盘有没有可写目录,有EXE文件的目录,嗅叹也可以尝试,脚本的道路走不下去了,建议往主机服务器上发展入侵并不一定靠脚本,如今ARP不是很流行吗也利用上,本人不才,发表一点看法!
帖子25 精华0 积分87 阅读权限40 在线时间6 小时 注册时间2007-4-14 最后登录2008-6-12 查看详细资料引用 报告 回复 TOP

tyyxt
晶莹剔透§烈日灼然

车虫

引用:
引用第14楼tyyxt于2007-07-21 13:37发表的 :
我帮他用嗅探搞定了!


结贴.......
过程乍样 用的什么嗅探工具 放出来嘛
帖子41 精华0 积分120 阅读权限40 在线时间89 小时 注册时间2005-6-17 最后登录2008-6-20 查看详细资料引用 报告 回复 TOP

刘的林
晶莹剔透§烈日灼然

拖车文

那是个虚拟主机..感觉后台怪马..没什么用处.
即使管理员中了木马也不是目标网站...
不可能你小小的一个站被挂了马。。要动用系统管理员上3389给你删代码把~ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然

东莞仔2

TO:狂封异袭
大概思路就是你说的那样,主要问题在于同网段的机器安全也做得很好,花了我不少时间,如果tyyxt 不出手,估计我只好拿其他服务器然后再用cain了,感谢tyyxt 啊！

至于楼上朋友的问题,就要问tyyxt 了,呵，工具不是我的,你可以PM tyyxt 看.

问题可以说已解决,下面只能等了,实在不行再想其他办法.

PS:居然不能引用发言,难道是IE7的问题？刚装的IE７,真不习惯,狂占内存.

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

qq66565841
晶莹剔透§烈日灼然

阿豪

引用:
原帖由 zhuziliu 于 2007-7-20 22:21 发表



找到了这个

D:\TOOLS>rawsniffer.exe

================================================================================

        RawSniffer V1.2
        Powered by shadow @2004/11/28
        my web:h ...
12楼 的兄弟，我也用这个。。可是NC弹回来，运行RawSniffer，它不问我 Y/N 很恶心。。。问问我也好呀。。。唉。。。


另外，给位给推荐个好用的在CMD下嗅探本地帐号密码的工具吧。。。谢谢先。。。

帖子66 精华0 积分195 阅读权限40 在线时间43 小时 注册时间2006-2-4 最后登录2008-3-29 查看个人网站
查看详细资料引用 报告 回复 TOP

风云逸剑
晶莹剔透§烈日灼然