Board logo

标题: [讨论]一个疑似数网分离的站点 但很奇异 老鸟请进 [打印本页]

作者: wlfjck    时间: 2008-7-22 09:44     标题: [讨论]一个疑似数网分离的站点 但很奇异 老鸟请进

[讨论]一个疑似数网分离的站点 但很奇异 老鸟请进
议题作者:zedge
信息来源:邪恶八进制信息安全团队

一台台湾的肉鸡,顺利获得webshell后,想用mssql的sa用户提权。sa密码找到了,添加administrators组用户后,发现无法使用。直接把ASPNET添加admin组,但我的aspx依然是受限的。开始怀疑是数据库与web服务分离,于是寻找信息如下:
netstat -an信息(在aspx的webshell的cmd中执行与mssql的xp_cmdshell中执行结果完全相同):

Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:42             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:53             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:88             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:387            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:389            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:464            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:593            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:636            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1433           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2289           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2967           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3268           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3269           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3388           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3778           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:6004           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8081           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:12174          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:34571          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:34572          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:38292          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:389          127.0.0.1:1035         ESTABLISHED
  TCP    127.0.0.1:389          127.0.0.1:1036         ESTABLISHED
  TCP    127.0.0.1:389          127.0.0.1:1037         ESTABLISHED
  TCP    127.0.0.1:389          127.0.0.1:23571        ESTABLISHED
  TCP    127.0.0.1:1035         127.0.0.1:389          ESTABLISHED
  TCP    127.0.0.1:1036         127.0.0.1:389          ESTABLISHED
  TCP    127.0.0.1:1037         127.0.0.1:389          ESTABLISHED
  TCP    127.0.0.1:1038         127.0.0.1:1039         ESTABLISHED
  TCP    127.0.0.1:1039         127.0.0.1:1038         ESTABLISHED
  TCP    127.0.0.1:1058         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1434         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:23571        127.0.0.1:389          ESTABLISHED
  TCP    127.0.0.1:42424        0.0.0.0:0              LISTENING
  TCP    127.0.0.1:43958        0.0.0.0:0              LISTENING
  TCP    192.168.0.100:80       203.169.178.72:62704   ESTABLISHED
  TCP    192.168.0.100:139      0.0.0.0:0              LISTENING
  TCP    192.168.0.100:389      192.168.0.100:26443    TIME_WAIT
  TCP    192.168.0.100:26440    204.2.128.153:80       ESTABLISHED
  TCP    192.168.0.100:26441    65.55.13.126:80        ESTABLISHED

  TCP    192.168.0.100:26442    65.55.13.126:443       ESTABLISHED
  TCP    192.168.0.100:26443    192.168.0.100:389      TIME_WAIT
  TCP    192.168.0.100:26444    192.168.0.100:389      TIME_WAIT
  UDP    0.0.0.0:42             *:*                    
  UDP    0.0.0.0:500            *:*                    
  UDP    0.0.0.0:1029           *:*                    
  UDP    0.0.0.0:1031           *:*                    
  UDP    0.0.0.0:1040           *:*                    
  UDP    0.0.0.0:1052           *:*                    
  UDP    0.0.0.0:1434           *:*                    
  UDP    0.0.0.0:4500           *:*                    
  UDP    0.0.0.0:38037          *:*                    
  UDP    0.0.0.0:38293          *:*                    
  UDP    127.0.0.1:53           *:*                    
  UDP    127.0.0.1:123          *:*                    
  UDP    127.0.0.1:1030         *:*                    
  UDP    127.0.0.1:1032         *:*                    
  UDP    127.0.0.1:1034         *:*                    
  UDP    127.0.0.1:1077         *:*                    
  UDP    127.0.0.1:1083         *:*                    
  UDP    127.0.0.1:1088         *:*                    
  UDP    127.0.0.1:1115         *:*                    
  UDP    127.0.0.1:1150         *:*                    
  UDP    127.0.0.1:1265         *:*                    
  UDP    127.0.0.1:10480        *:*                    
  UDP    192.168.0.100:53       *:*                    
  UDP    192.168.0.100:88       *:*                    
  UDP    192.168.0.100:123      *:*                    
  UDP    192.168.0.100:137      *:*                    
  UDP    192.168.0.100:138      *:*                    
  UDP    192.168.0.100:389      *:*                    
  UDP    192.168.0.100:464      *:*                    
--------------------------------疑惑的分割线-------------------------
ipconfig(执行结果在两边也是完全相同):
Ethernet adapter 伺服器區域連線:



   Connection-specific DNS Suffix  . :

   IP Address. . . . . . . . . . . . : 192.168.0.100

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Default Gateway . . . . . . . . . : 192.168.0.1
-----------------------------颤陡的分割线-----------------
dir c:\(结果也是完全相同,时间、文件夹.....完全相同,这里就不贴了)

-------------------糊涂的分割线------------------
net user(列系统用户,这里两边不同了,下面前者是在webshell的cmd中直接执行的,后者是在xp_cmdshell中执行的,有些不同哦!):

\\SERVER 的使用者帳戶

-------------------------------------------------------------------------------
Administrator            Administrator Tmpl       Guest                    
IUSR_DRFAULT-UHP4RET     IWAM_DRFAULT-UHP4RET     krbtgt                  
Power User Tmpl          SBS Backup User          SBS STS Worker           
SUPPORT_388945a0         twuser                  
命令執行成功。

\\ 的使用者帳戶

-------------------------------------------------------------------------------
2B6102BA-808C-4B68-9     Administrator            Administrator Tmpl      
ASPNET                   Guest                    IIS_Admin               
IUSR_DRFAULT-UHP4RET     IWAM_DRFAULT-UHP4RET     krbtgt                  
Mobile User Tmpl         Power User Tmpl          SBS Backup User         
SBS STS Worker           SUPPORT_388945a0         twuser                  
User Tmpl     

出现一个或多个错误.

-------
不同之处有:
1.\\后一个webshell/cmd有计算机名,而xp_cmdshell没有
2.webshell/cmd中用户数少于xp_cmdshell中的
3.webshell/cmd最后提示成功执行命令,而xp_cmdshell最后提示出现一个或多个错误.


我的猜想:这是台老肉鸡,有老黑手把系统注册表改了,导致xp_cmdshell提权失败...??!!
帖子5 精华0 积分9 阅读权限40 性别男 在线时间17 小时 注册时间2007-8-1 最后登录2008-4-9 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

remax
晶莹剔透§烈日灼然
作者: jack    时间: 2008-7-22 09:45

重启iis。
/*专业凑字*/20字节够写什么?

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料引用 报告 回复 TOP 爱要怎么说出口

hushui
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2