【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]一个疑似数网分离的站点但很奇异老鸟请进 [打印本页]

作者: wlfjck 时间: 2008-7-22 09:44 标题: [讨论]一个疑似数网分离的站点但很奇异老鸟请进

[讨论]一个疑似数网分离的站点但很奇异老鸟请进
议题作者：zedge
信息来源：邪恶八进制信息安全团队

一台台湾的肉鸡，顺利获得webshell后，想用mssql的sa用户提权。sa密码找到了，添加administrators组用户后，发现无法使用。直接把ASPNET添加admin组，但我的aspx依然是受限的。开始怀疑是数据库与web服务分离，于是寻找信息如下：
netstat -an信息（在aspx的webshell的cmd中执行与mssql的xp_cmdshell中执行结果完全相同）：

Proto  Local Address       Foreign Address       State
  TCP 0.0.0.0:21          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:42          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:53          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:80          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:88          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:387          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:389          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:464          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:593          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:636          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1433          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:2289          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:2967          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3268          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3269          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3388          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:3778          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:6004          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:8080          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:8081          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:12174       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:34571       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:34572       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:38292       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:389       127.0.0.1:1035       ESTABLISHED
  TCP 127.0.0.1:389       127.0.0.1:1036       ESTABLISHED
  TCP 127.0.0.1:389       127.0.0.1:1037       ESTABLISHED
  TCP 127.0.0.1:389       127.0.0.1:23571       ESTABLISHED
  TCP 127.0.0.1:1035       127.0.0.1:389       ESTABLISHED
  TCP 127.0.0.1:1036       127.0.0.1:389       ESTABLISHED
  TCP 127.0.0.1:1037       127.0.0.1:389       ESTABLISHED
  TCP 127.0.0.1:1038       127.0.0.1:1039       ESTABLISHED
  TCP 127.0.0.1:1039       127.0.0.1:1038       ESTABLISHED
  TCP 127.0.0.1:1058       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:1434       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:23571       127.0.0.1:389       ESTABLISHED
  TCP 127.0.0.1:42424       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:43958       0.0.0.0:0             LISTENING
  TCP 192.168.0.100:80    203.169.178.72:62704 ESTABLISHED
  TCP 192.168.0.100:139    0.0.0.0:0             LISTENING
  TCP 192.168.0.100:389    192.168.0.100:26443 TIME_WAIT
  TCP 192.168.0.100:26440 204.2.128.153:80    ESTABLISHED
  TCP 192.168.0.100:26441 65.55.13.126:80       ESTABLISHED

  TCP 192.168.0.100:26442 65.55.13.126:443    ESTABLISHED
  TCP 192.168.0.100:26443 192.168.0.100:389    TIME_WAIT
  TCP 192.168.0.100:26444 192.168.0.100:389    TIME_WAIT
  UDP 0.0.0.0:42          *:*
  UDP 0.0.0.0:500          *:*
  UDP 0.0.0.0:1029          *:*
  UDP 0.0.0.0:1031          *:*
  UDP 0.0.0.0:1040          *:*
  UDP 0.0.0.0:1052          *:*
  UDP 0.0.0.0:1434          *:*
  UDP 0.0.0.0:4500          *:*
  UDP 0.0.0.0:38037       *:*
  UDP 0.0.0.0:38293       *:*
  UDP 127.0.0.1:53          *:*
  UDP 127.0.0.1:123       *:*
  UDP 127.0.0.1:1030       *:*
  UDP 127.0.0.1:1032       *:*
  UDP 127.0.0.1:1034       *:*
  UDP 127.0.0.1:1077       *:*
  UDP 127.0.0.1:1083       *:*
  UDP 127.0.0.1:1088       *:*
  UDP 127.0.0.1:1115       *:*
  UDP 127.0.0.1:1150       *:*
  UDP 127.0.0.1:1265       *:*
  UDP 127.0.0.1:10480       *:*
  UDP 192.168.0.100:53    *:*
  UDP 192.168.0.100:88    *:*
  UDP 192.168.0.100:123    *:*
  UDP 192.168.0.100:137    *:*
  UDP 192.168.0.100:138    *:*
  UDP 192.168.0.100:389    *:*
  UDP 192.168.0.100:464    *:*
--------------------------------疑惑的分割线-------------------------
ipconfig(执行结果在两边也是完全相同):
Ethernet adapter 伺服器區域連線:

Connection-specific DNS Suffix  . :

IP Address. . . . . . . . . . . . : 192.168.0.100

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1
-----------------------------颤陡的分割线-----------------
dir c:\(结果也是完全相同，时间、文件夹.....完全相同，这里就不贴了)

-------------------糊涂的分割线------------------
net user(列系统用户，这里两边不同了，下面前者是在webshell的cmd中直接执行的，后者是在xp_cmdshell中执行的，有些不同哦！)：

\\SERVER 的使用者帳戶

-------------------------------------------------------------------------------
Administrator          Administrator Tmpl    Guest
IUSR_DRFAULT-UHP4RET    IWAM_DRFAULT-UHP4RET    krbtgt
Power User Tmpl       SBS Backup User       SBS STS Worker
SUPPORT_388945a0       twuser
命令執行成功。

\\ 的使用者帳戶

-------------------------------------------------------------------------------
2B6102BA-808C-4B68-9    Administrator          Administrator Tmpl
ASPNET                Guest                   IIS_Admin
IUSR_DRFAULT-UHP4RET    IWAM_DRFAULT-UHP4RET    krbtgt
Mobile User Tmpl       Power User Tmpl       SBS Backup User
SBS STS Worker          SUPPORT_388945a0       twuser
User Tmpl

出现一个或多个错误.

-------
不同之处有：
1.\\后一个webshell/cmd有计算机名，而xp_cmdshell没有
2.webshell/cmd中用户数少于xp_cmdshell中的
3.webshell/cmd最后提示成功执行命令，而xp_cmdshell最后提示出现一个或多个错误.

我的猜想：这是台老肉鸡，有老黑手把系统注册表改了，导致xp_cmdshell提权失败...？？！！
帖子5 精华0 积分9 阅读权限40 性别男在线时间17 小时注册时间2007-8-1 最后登录2008-4-9 查看详细资料引用报告回复 TOP 良辰择日，预测咨询，公司改名，权威易经

remax

晶莹剔透§烈日灼然

作者: jack 时间: 2008-7-22 09:45

重启iis。
/*专业凑字*/20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料引用报告回复 TOP 爱要怎么说出口

hushui

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)