Board logo

标题: [讨论]搞不定Windows 2003提升权限 [打印本页]

作者: wlfjck    时间: 2008-7-25 13:53     标题: [讨论]搞不定Windows 2003提升权限

[讨论]搞不定Windows 2003提升权限
信息来源:邪恶八进制信息安全团队(www.eviloctal.com
议题作者:wolfluxay

旁注得到webshell,只能浏览本网站
上传aspx木马,发现128个站点全部可以浏览
users组的aspx木马也只能访问E:\webhosting这个目录,C,D不能访问,不过可以跳转
服务器环境:
1.装了servu,但是没有找到安装目录  用su.exe提权失败,servu.asp.servu.aspx也失败
2.mssql,找到一个连接帐号,不是sa权限
3.C:\Documents and Settings\All Users\Documents\ 可写
4.ftp的banner返回6.3的版本
5.3389可连

实在是没有办法

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP 爱要怎么说出口


神無月
晶莹剔透§烈日灼然
作者: 佛硬    时间: 2008-7-25 13:53

到C:\Documents and Settings\All Users\「开始」菜单\程序\看看能找到SERV-U不
也试试PHP 看看  不过是SERV-U6.3的话 我没试过成功
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料TOP 您知道您年薪应是多少?

wolfluxay
晶莹剔透§烈日灼然
作者: 融化冰河    时间: 2008-7-25 13:53

在C:\Documents and Settings\All Users\「开始」菜单\程序\ 下没有看到servu,查看端口43958,21开着,不知道有没有什么好的方法可以查看到servu的物理路径

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

流转
风中...流转

晶莹剔透§烈日灼然
作者: wahfen    时间: 2008-7-25 13:53

在C:\Documents and Settings\All Users\每个文件夹里看看,可能发现serv-u的快捷方式,下再回来看属性就可以了~~~,如果mssql的账号的话,八成是DB_OWNER,那么就有浏览目录的权限,可以列目录~~当然就能找到serv-u了,但一定要有耐心。
看看有没有webwinmail,可以直接替换服务,他的文件夹权限必须是Everyone读写浏览,是第三方软件的问题

帖子389 精华0 积分597 阅读权限50 性别男 来自大连 在线时间171 小时 注册时间2006-7-15 最后登录2008-4-15 查看个人网站
查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: catao    时间: 2008-7-25 13:53

引用:
这里是引用第[3 楼]的流转于2006-08-07 09:39发表的:
如果mssql的账号的话,八成是DB_OWNER,那么就有浏览目录的权限,可以列目录~~当然就能找到serv-u了,但一定要有耐心。
我用海洋的数据库操作连上去,可以列出数据库的表的内容,但不知道怎样浏览目录,还请楼上的指教

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP 让女孩一夜变的更有女人味

hack520
运维管理组

作者: 咖啡豆    时间: 2008-7-25 13:53

转到SQL语句执行
输入exec master..xp_dirtree 'c:\',1,1--
这就是看C盘撒
~~~ [s:75]Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

wolfluxay
晶莹剔透§烈日灼然
作者: 超越    时间: 2008-7-25 13:53

先谢谢猪三哥拉,按你说的方法执行了还是什么也列不来,用sql查询发现 sp_oacreate 也在,不过好像除了sa没法调用,dbowner下还有其他招了吗

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP 让女孩一夜变的更有女人味

神無月
晶莹剔透§烈日灼然
作者: Esther    时间: 2008-7-25 13:53

你有DB_OWNER的注入点吧..?  没有的话 伪造一个 再用阿D   有时阿D能列目录NBSI之类的就是列不出
他的好象是穷举的方式列的,一个一个字符猜列的. 不过时间可能占比较久一点.
帖子124 精华0 积分313 阅读权限40 性别男 在线时间37 小时 注册时间2006-4-22 最后登录2008-6-9 查看详细资料TOP

jouanc
晶莹剔透§烈日灼然
作者: fuxinxia    时间: 2008-7-25 13:53

引用:
这里是引用第[6 楼]的wolfluxay于2006-08-07 10:55发表的:
先谢谢猪三哥拉,按你说的方法执行了还是什么也列不来,用sql查询发现 sp_oacreate 也在,不过好像除了sa没法调用,dbowner下还有其他招了吗
我一直在想xp_regwrite是public的,那mssql是system运行的,那写个东西进去该没问题!
纯熟个人观点这世界大了,啥鸟都有!
帖子34 精华0 积分145 阅读权限40 在线时间24 小时 注册时间2005-10-3 最后登录2008-7-10 查看详细资料TOP

杀虫剂
晶莹剔透§烈日灼然
作者: zmd    时间: 2008-7-25 13:53

那个兄弟给我个免杀的ASPX马呢。。。提权的时候发现网上找的全部杀掉了,用什么方法加密都不行。各位兄弟帮下忙 [s:74]  [s:88]  [s:89]黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 查看详细资料TOP

xindong
晶莹剔透§烈日灼然
作者: 枫枫    时间: 2008-7-25 13:53

各位,他说的这个站点我试过了,利用servu成功加了账号,但却根本运行不了命令,比如我用lake2的asp成功加了账号,用砍客基地的seru.php也成功加了一个serv_u账号,su.aspx也提示成功运行了命令,但却就是出现不了效果,比如明明提示user logged in,execute command sucessfull,pid ...但却就是看不到加的账号。经我测试,不是账号策略的问题,比如我写个批处理在里面,再用su.aspx运行批处理,但事实上这个批处理根本没运行,而su.aspx却提示运行成功,不知为什么?这恐怕是唯一的可以提权的了,6.3的servu提权不成功,期待着牛人的新的溢出程序!
帖子25 精华0 积分84 阅读权限40 在线时间9 小时 注册时间2005-8-8 最后登录2006-10-3 查看个人网站
查看详细资料TOP

hack520
运维管理组

作者: 铁观音    时间: 2008-7-25 13:53

[s:75] servu6.3提升的道理还是一个样..至于你说程序提示成功了..但是没有帐号,有可能是net 设置了权限的问题..又或者..servu根本不是以localsystem权限运行的Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: SPZLH    时间: 2008-7-25 13:53

引用:
这里是引用第[10 楼]的xindong于2006-08-09 22:40发表的:
各位,他说的这个站点我试过了,利用servu成功加了账号,但却根本运行不了命令,比如我用lake2的asp成功加了账号,用砍客基地的seru.php也成功加了一个serv_u账号,su.aspx也提示成功运行了命令,但却就是出现不了效果,比如明明提示user logged in,execute command sucessfull,pid ...但却就是看不到加的账号。经我测试,不是账号策略的问题,比如我写个批处理在里面,再用su.aspx运行批处理,但事实上这个批处理根本没运行,而su.aspx却提示运行成功,不知为什么?这恐怕是唯一的可以提权的了,6.3的servu提权不成功,期待着牛人的新的溢出程序!
成功的加的帐号,那么说是可以3389登陆进去了。
 这位兄弟知道我搞的是哪个站,留个QQ给我,谢谢

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: shenbi    时间: 2008-7-25 13:53

刚刚搞了下,发现net1.exe可以用
quote site exec net1.exe user命令也提示200 EXEC command successful (TID=33).
这应该是代表加成功了吧,在海洋里没有刚加的用户,3389也进不去
我就纳闷了 楼上的猪三哥再给个提示吧 [s:59]

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP

杀虫剂
晶莹剔透§烈日灼然
作者: ecc83    时间: 2008-7-25 13:53

昨天我遇见这种情况不知道是不是和你的相同。
成功用SU.ASP加了用户利用FTP登陆加管理员用户也提示200 EXEC command successful (TID=33).
我就3389登陆进去提升错误不是远程登陆组。由是我就把帐户提加到远程组里也不行。经过研究发现原来它把administrators组和其他组都改名了,net localgroup运行不了提示服务器没启动。。(牛人门这是什么原因net localgroup是内部命令)后来没办法上传个鸽子用FTP运行在鸽子里上传HideAdmin成功加了具有管理权限的用户。。3389登陆成功。。不知道这个方法能不能帮助你。。黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: wrong_sl    时间: 2008-7-25 13:53

我在ftp添加一个帐号,提示是成功了,但是在海洋里查看发现根本就没有这个用户。
而且感觉这个ftp的权限也很小,跳转目录也不能。
楼上的兄弟听你的意思,你用ftp添加的用户是成功了,而且3389可以登陆,只是说不是远程登陆组的

还有这个ftp的权限也不知道有多大

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP

杀虫剂
晶莹剔透§烈日灼然
作者: 陈有才    时间: 2008-7-25 13:53

3389不能登陆,,因为用net localgroup添加到管理组net localgroup提示服务器没启动。。
我昨天的方法就是上传一个免杀鸽子用FTP执行。在鸽子上传一个HideAdmin。利用HideAdmin添加了管理员这才进了3389里面。黎叔很生气

帖子70 精华0 积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18 查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: 虎口    时间: 2008-7-25 13:53

lake2的servu.asp加的ftp用户是不是system权限

帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP

remax
晶莹剔透§烈日灼然
作者: only2    时间: 2008-7-25 13:53

这个2003还算不错啦,我今天日的那个比这个猛,netstat -an不能返回端口,asp.net  Guest权限,serv-u是个6。2,管理员密码加上了。。郁闷死。。某些人说可以用WinWebMail的Exp日进去,0dayExp,,那个大牛发给我一个~~
remax.z@163.com
QQ:37424654[成天挂机,呵呵。。]20字节够写什么?

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP

cl7232355
晶莹剔透§烈日灼然
作者: 44447777kun    时间: 2008-7-25 13:53

各位大家好啊,我是个小菜鸟!!我在C:\Documents and Settings\All Users\「开始」菜单\程序\ 下看到了servu,查到servu6.3的物理路径,在D盘,但D盘没有权限,cmd也运行不了。用了SU。ASP没用。上传个ASPX的用不了。各位高手可以介绍一下有什么方法能成功加个账号。。

帖子2 精华0 积分9 阅读权限40 性别男 在线时间9 小时 注册时间2006-8-19 最后登录2006-8-24 查看详细资料TOP

testplay
晶莹剔透§烈日灼然
作者: →有几坏←    时间: 2008-7-25 13:53

传个基本的shell上去,利用你们帖子里描述成功的溢出指令来执行shell,连该shell,确定是否真的执行了,如果连上,再看下权限如何.有个shell比起瞎子样摸着走要顺利得多.
帖子26 精华0 积分93 阅读权限40 在线时间25 小时 注册时间2005-1-27 最后登录2008-2-2 查看详细资料TOP

wolfluxay
晶莹剔透§烈日灼然
作者: ah_Ben    时间: 2008-7-25 13:53

可以结贴了
  最近在整理硬盘时把当时从该站下载的一个access数据库翻出来,找到了管理员的QQ、msn、mail、生日等信息,原来他用生日做mail密码,在邮箱里翻到了最近他和服务器提供商通信的一些邮件,其中也有终端的密码,顺利拿下主机。运气不错,要是早点翻翻数据库早就拿下了



帖子52 精华0 积分166 阅读权限40 性别男 在线时间219 小时 注册时间2006-2-2 最后登录2008-7-17 查看详细资料TOP

sherry_gvi
晶莹剔透§烈日灼然
作者: 鸥飞007    时间: 2008-7-25 13:53

MSSQL是什么权限啊,如果是db_owner权限,可以在WEBSHELL里创建个注入点,然后用MSSQL注入通杀,可以在db_owner权限下建立SA用户,然后自己想吧。"爱"就是科学与逻辑永远无法解释的程序.
帖子7 精华0 积分19 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-11 最后登录2008-7-20 查看详细资料TOP

wind4
晶莹剔透§烈日灼然
作者: 摩托车    时间: 2008-7-25 13:53

看看C:\WINDOWS\MY.INI里面能不能找到有MYSQL的ROOT密码。可以的话可以用MYSQL提权。

还可以试一下社会工程学/用你找到的一些信息去试SA的密码!~我是菜鳥我怕誰!!!誰來Κ我誰倒霉!!!

帖子4 精华0 积分16 阅读权限40 性别男 在线时间10 小时 注册时间2007-1-26 最后登录2008-6-28 查看详细资料TOP

un_dead
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2