評論(0

Guest許可權提升

標籤: 暫無標籤

Guest許可權提升是如何拿到系統管理員或者是system許可權的方法。

Guest許可權提升Guest許可權提升

現在的入侵是越來越難了,人們的安全意識都普遍提高了不少,連個人用戶都懂得防火牆,殺毒軟體要裝備在手,對於微軟的補丁升級也不再是不加問津。因此現在想在網際網路上掃描弱口令的主機已經幾乎是痴心妄想了。 但是這也使得作黑客的進行入侵檢測達到了一個前所未有的難度。通過各種手段,通常並不能直接獲得一個系統的管理員許可權。比如通過某些對IIS的攻擊,只能獲得IUSR-MACHINENAME的許可權(如上傳asp木馬,以及某些溢出等)。這個帳號通常可是系統默認的guest許可權,於是,如何拿到系統管理員或者是system許可權,便顯得日益重要了。 於是,就總結了一下大家所經常使用的幾種提升許可權的方法,以下內容是整理的,沒有什麼新的方法。

1 Guest許可權提升 -社會工程學

Guest許可權提升Guest許可權提升

對於社會工程學,通常是通過各種辦法獲得目標的敏感信息,然後加以分析,從而可以推斷出對方admin的密碼。舉一個例子:假如是通過對伺服器進行資料庫猜解從而得到admin在網站上的密碼,然後藉此上傳了一個海洋頂端木馬,會怎麼做?先翻箱倒櫃察看asp文件的代碼以希望察看到連接SQL的帳號密碼?錯錯錯,應該先鍵入一個netstat –an命令察看他開的埠(當然用net start命令察看服務也行)。一旦發現開了3389,猶豫什麼?馬上拿出終端連接器,添上對方IP,鍵入在網站上所獲得的用戶名及密碼……幾秒之後,呵呵,進去了吧?這是因為根據社會工程學的原理,通常人們為了記憶方便,將自己在多處的用戶名與密碼都是用同樣的。於是,獲得了在網站上的管理員密碼,也就等同於獲得了他所有的密碼。其中就包括系統admin密碼。於是就可以藉此登入3389拉!

即使並沒有開啟3389服務,也可以憑藉這個密碼到他的FTP伺服器上試試,如果FTP伺服器是serv-u 5.004 以下版本,而帳號又具有寫許可權,那麼就可以進行溢出攻擊了!這可是可以直接拿到system許可權的哦!(利用serv-u還有兩個提升許可權的方法, 待會兒會說的)

實在不行,也可以拿它的帳號去各大網站試試!或許就能進入所申請的郵箱拿到不少有用的信息!可以用來配合以後的行動。

還有一種思路,一個網站的網管通常會將自己的主頁設為IE打開后的默認主頁,以便於管理。就可以利用這一點,將自己的主頁植上網頁木馬……然後打開IE……呵呵,怎麼也不會想到自己的主頁會給自己種上木馬吧?

其實利用社會工程學有很多種方法,想作為一個合格黑客,這可是必學的哦!多動動自己的腦子,才會成功!

2 Guest許可權提升 -本地溢出

微軟實在是太可愛了,這句話也不知是哪位仁兄說的,真是不假,時不時地就會給送來一些溢出漏洞,相信通過最近的MS-0011大家一定又賺了一把肉雞吧?其實在拿到了Guest許可權的shell后同樣可以用溢出提升許可權。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上傳執行后就可以得到Admin許可權。但一定是對方沒有打過補丁的情況下才行,不過最近微軟的漏洞一個接一個,本地提升許可權的exploit也會出來的,所以大家要多多關心漏洞信息,或許下一個exploit就是你寫出來的哦!

3 Guest許可權提升 -利用scripts目錄

這也是以前得到webshell后經常使用的一招,原理是Scripts目錄是IIS下的可運行目錄,許可權就是夢寐以求的SYSTEM許可權。常見的使用方法就是在U漏洞時代先上傳idq.dll到IIS主目錄下的Scripts目錄,然後用ispc.exe進行連接,就可以拿到system許可權,不過這個是在Microsoft出了SP3之後就行不通了,其實仍可以利用此目錄,只要上傳別的木馬到此目錄,舉個例子就比如是winshell好了。然後在IE中輸入: http://targetIP/Scripts/木馬文件名.exe

等一會,看到下面進度條顯示「完成」時,可以了,連接設定的埠吧!這裡是默認的5277,連接好后就是SYSTEM許可權了!

4 Guest許可權提升 -替換系統服務

Guest許可權提升Guest許可權提升

這可是廣大黑友樂此不疲的一招。因為windows允許對正在運行中的程序進行改動,所以就可以替換服務以使得系統在重啟后自動運行後門或是木馬!首先,通過獲得的guest許可權的shell輸入:net start命令,察看他、所運行的服務。此時如果對windows的系統服務熟悉的話,可以很快看出哪些服務可以利用。

C:\WINNT\System32\>net start

已經啟動以下 Windows 服務:

COM+ Event System

Cryptographic Services

DHCP Client

Distributed Link Tracking Client

DNS Client

Event Log

Help and Support

IPSEC Services

Logical Disk Manager

Logical Disk Manager Administrative Servic

network connections

Network Location Awareness (NLA)

Protected Storage

Remote Procedure Call (RPC)

Rising Process Communication Center

Rising Realtime Monitor Service

Secondary Logon

Security Accounts Manager

Shell Hardware Detection

System Event Notification

System Restore Service

Telephony

Themes

Upload Manager

WebClient

Windows Audio

Windows Image Acquisition (WIA)

Windows Management Instrumentation

Windows Time

Wireless Zero Configuration

Workstation

命令成功完成。

先在機器上運行一下命令做個示範(注意用紅色標註的部分,那是安裝的瑞星。Rising Process Communication Center服務所調用的是CCenter.exe,而Rising Realtime Monitor Service服務調用的是RavMonD.exe。這些都是第三方服務,可以利用。(強烈推薦替換第三方服務,而不要亂動系統服務,否則會造成系統不穩定)於是搜索這兩個文件,發現在D:\ rising\rav\文件夾中,此時注意一點:如果此文件是在系統盤的Program Files目錄中時,要知道,如果對方是使用的NTFS格式的硬碟,那麼系統盤下的這個文件夾guest許可權是默認不可寫的,還有Windows目錄、Documents and Settings目錄這些都是不可寫的,所以就不能替換文件,只能令謀途徑了。(這也是為什麼不建議替換系統服務的原因之一,因為系統服務文件都在Windows\System32目錄中,不可寫)但如果是FAT32格式就不用擔心,由於它的先天不足,所有文件夾都是可寫的。

於是就有人會問:如果是NTFS格式難道就沒轍了嗎?

當然不是,NTFS格式默認情況下除了對那三個文件夾有限制外,其餘的文件夾、分區都是everyone完全控制。(也就是說即使是IPC$的匿名連接,都會對這些地方有可寫可運行許可權!)所以一旦對方的第三方服務不是安裝在那三個文件夾中,我們就可以替換了!就拿ccenter下手,先將它下載到本地機器上(FTP、放到IIS主目錄中再下載等等……)然後拿出文件捆綁機,找到一個最拿手的後門……捆綁好后,上傳,先將對方的CCenter.exe文件改個名CCENTBAK.exe,然後替換成自己的CCenter。現在只需要等對方的機器重啟,後門就可以運行了!由於Windows系統的不穩定,主機在一個禮拜后就會重啟,(當然如果等不及的話,可以對此伺服器進行DDOS攻擊迫使他重啟,但並不贊同!)此時登上後門,就是System許可權了!

5 Guest許可權提升 -替換admin常用程序

如果對方沒有你所能利用的服務,也可以替換對方管理員常用的程序,例如QQ,MSN等等,具體替換方法與替換服務一樣,只是你的後門什麼時候可以啟動就得看你的運氣了。

6 Guest許可權提升 -利用autorun .inf或desktop.ini

常會碰到這種事:光碟放進光碟機,就會自動跳出來一段FLASH,這是為什麼?到光碟的根目錄中看看,是否有一個autorun.inf的文件?用記事本打開來看看,是不是有這麼一句話:autorun=xxx.exe 這就是剛才所看到的自動運行的程序了。

於是就可以利用這個來提升許可權。先配置好一個後門,(常用的是winshell,當然不用這個也行)上傳到D盤下的任意一個文件夾中,然後從那個自運行的光碟中把autorun.inf文件也上傳,不過上傳前先將autorun=xxx.exe 後面的xxx.exe改為配置的後門文件途徑、文件名,然後再上傳到d盤根目錄下,加上只讀、系統、隱藏屬性。就等對方admin瀏覽D盤,後門就可以啟動了!(當然,這必須是在沒有禁止自動運行的情況下才行。)

另外有相同作用的是desktop.ini。大家都知道windows支持自定義文件,其實就是通過在文件夾中寫入特定文件——desktop.ini與Folder.htt來實現的,就可以利用修改這文件來達到目的。

首先,現在本地建立一個文件夾,名字不重要,進入它,在空白處點右鍵,選擇「自定義文件夾」(xp好像是不行的)一直下點,默認即可。完成後,就會看到在此目錄下多了兩個名為Folder setting的文件架與desktop.ini的文件,(如果看不到,先取消「隱藏受保護的操作系統文件」)然後我們在Folder setting目錄下找到Folder.htt文件,記事本打開,在任意地方加入以下代碼:

IT」 WIDTH=0 HEIGHT=0 TYPE=」application/x-oleobject」 CODEBASE=」你的後門文件名」>

然後將後門文件放在Folder setting目錄下,把此目錄與desktop.ini一起上傳到對方任意一個目錄下,就可以了,只要等管理員瀏覽了此目錄,它就執行了後門!(如果不放心,可以多設置幾個目錄)

7 Guest許可權提升 -Serv-U提升許可權

Guest許可權提升Guest許可權提升

利用Serv-U提升許可權共有三種方法,溢出是第一種,之前已經說過,這裡就不介紹了。要講的是其餘兩種辦法。

辦法一:要求:對Serv-u安裝目錄有完全控制權。

方法:進入對方的Serv-U目錄,察看他的ServUDaemon.ini,這是Serv-U的配置文件,如果管理員沒有選擇將serv- u的所有配置寫入註冊表的話,就可以從這個文件中看到Serv-U的所有信息,版本、IP、甚至用戶名與密碼!早些版本的密碼是不加密的,但是後來是經過了MD5加密。所以不能直接得到其密碼。不過仍然有辦法:先在本地安裝一個Serv-U(版本最好新點),將自己的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉,重起一下Serv-U,於是上面的所有配置都與他的一模一樣了。新建一個用戶,什麼組不重要,重要的是將主目錄改為對方的系統盤,然後加上執行許可權!這個最重要。更改完后應用,退出。再將更改過的ServUDaemon.ini 文件上傳,覆蓋掉文件,然後就等Serv-U重啟更新配置,之後就可以登入FTP。進入后執行以下命令:

Cd windows

Cd System32

Quote site exec net.exe user wofeiwo /add

Quote site exec net.exe localgroup administrators wofeiwo /add

Bye

然後就有了一個叫wofeiwo的系統管理員了,還等什麼?登陸3389,大功告成!

辦法二:Serv-u開了兩個埠,一個是21,也就是FTP了,而另一個是43958,這個埠是幹什麼的?嘿嘿,這個是Serv-U的本地管理埠。但是默認是不準除了127.0.0.1外的ip連接的,此時就要用到FPIPE.exe文件,這是一個埠轉發程序,上傳他,執行命令:

Fpipe –v –l 3333 –r 43958 127.0.0.1

意思是將4444埠映射到43958埠上。

然後就可以在本地安裝一個Serv-u,新建一個伺服器,IP填對方IP,帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 連接上后你就可以管理Serv-u了,之後提升許可權的方法參考辦法一。

8 Guest許可權提升 -SQL帳戶密碼泄露

如果對方開了MSSQL伺服器,就可以通過用SQL連接器加管理員帳號,因為MSSQL是默認的SYSTEM許可權。

要求:得到了對方MSSQL管理員密碼(可以從連接資料庫的ASP文件中看到),對方沒有刪除xp_cmdshell

方法:使用Sqlexec.exe,在host 一欄中填入對方IP,User與Pass中填入所得到的用戶名與密碼。Format選擇xp_cmdshell」%s」即可。然後點擊connect,連接上后就可以在CMD一欄中輸入想要的CMD命令了。

總之,以上的8種方法並不是絕對的,最主要的是思路,每種方法互相結合,才能發揮其應有的效應。

9 Guest許可權提升 -參考資料

[1] 矽谷動力  http://www.enet.com.cn/article/2004/0807/A20040807331588_5.shtml

上一篇[haml]    下一篇 [GRScript]

相關評論

同義詞:暫無同義詞