注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

龙少'Blog

 

 
 
 

日志

 
 

本地溢出提权  

2012-07-24 21:32:51|  分类: 提权 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把里面的水溢出来.
而相对计算机来说计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.
这一章大概就是说利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.

2012年07月24日 - 维护网络界的和平 - 龙少Blog
首先asp webshell要支持wscript(wscript.shell/shell.application) 一般打开webshell里面都会有组件支持,看到wscript.shell 旁边的勾选上了就支持wscript,当然也有一些webshell会有诈胡的现象.- -市面上的几款比较火的webshell貌似都有这些问题,帮朋友提权他的webshell有wscript.shell 支持,然后找个目录执行cmd的结果不行,转到我那webshell上显示没wscript.shell 支持..
或者aspx能调用.net组件来执行cmd的命令.
这里主要用几款市面上比较多人利用的windows exploit提权的利用工具.
0×01 找可写目录
这里附上啊D写的asp版本扫描可写目录和欧欧写的aspx扫可写目录,最后附上一款我自己比较喜欢用来日星外时候的辅助 小手冰凉的aspx 通过查注册表然后获取路径,配合啊D的扫可写目录比较不错.这些工具我们都演示一遍吧.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
输入目录,然后点击开始检测,得出以下结果
2012年07月24日 - 维护网络界的和平 - 龙少Blog
蓝色是貌似是代表有一定的权限,未必可写(可能可读),红色是代表文件夹可写,红色的文件呢就是代表那个文件可写了,黑色是代表不存在该文件夹.
接下来演示一下欧欧写的aspx扫描,比较简单,一看就清楚了..
2012年07月24日 - 维护网络界的和平 - 龙少Blog
 输入文件夹路径或者盘符0.0,接着点击ScanWrtieable即可.
最后是演示一下小手冰凉写的这款通过读取注册表里的软件的路径,然后输出注册表里的数据,显示软件安装所在的路径..配合啊D的目录读写检测 asp版,可以快速的找到可写目录。
2012年07月24日 - 维护网络界的和平 - 龙少Blog
这里我已经找到了一个可写目录
c:\Documents and Settings\All Users\Documents\My Music\Sample Playlists\0012F852\
我们上传cmd试试吧.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
 一些小技巧:有些安全软件或者一些管理员会在注册表或者安全策略神马的设置,限制运行exe后缀的文件,有时候可以把上传的cmd.exe随便改名字,-0-在webshell下运行它不管你是不是exe后缀最终都是以exe文件来运行..
点击webshell里面的cmd命令
2012年07月24日 - 维护网络界的和平 - 龙少Blog
 输入我们刚才上传的cmd.exe的路径和文件名.勾选WScript.Shell ,我们这里看看我们现在用户的权限,输入whoami 点击执行.返回了一个信息
nt authority\network service
在第三章《windows2003 webshell默认权限》里我讲过下面引用第三章
Network Service是Windows 2003中新内置的一个被严格限制的账号。另外,IIS 6.0只允许管理员执行命令行工具,从而避免命令行工具的恶意使用。这些设计上的改变,都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改 变、一些简单配置的更改(包括取消匿名用户向web服务器的根目录写入权限,和将FTP用户的访问隔离在他们各自的主目录中)都极大地提高了IIS 6.0的安全性。0.0该用户就是一个users组的,可以执行一些简单的命令. 但不能直接net user 添加用户.有些黑客做了后门所以让webshell在iis下运行有system权限.具体方法参考0×03附录.
我们在运行exploit前一般会输入systeminfo这命令.或者通过查询c:\windows\ 里留下的补丁号.log来看看服务器大概打了哪些补丁
.
附上对应补丁号
KB2360937 MS10-084
KB2478960 MS11-014
KB2507938 MS11-056
KB2566454 MS11-062
KB2646524 MS12-003
KB2645640 MS12-009
KB2641653 MS12-018
KB952004 MS09-012 Pr.exe
KB956572 MS09-012 巴西烤肉
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011 ms11011.exe
KB942831 MS08-005
KB2503665 MS11-046 ms11046.exe
KB2592799 MS11-080 ms11080.exe
2012年07月24日 - 维护网络界的和平 - 龙少Blog
 0.0没打补丁也.接着在那可读可写可执行的目录下,上传我们的exploit.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
 执行pr,为什么不回显呢?
我在这里解答一下吧,因为上传的文件的路径 文件夹里面有 空格c:\Documents and Settings\All Users\Documents\My Music\Sample Playlists\0012F852\
我们换个路径吧
C:\RECYCLER
2012年07月24日 - 维护网络界的和平 - 龙少Blog
看到没有,有回显了. Pr的使用方法就是 文件所在的路径 + “cmd命令” ps:要注意有”"双引号!!.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
C:\RECYCLER\pr.exe “whoami”
返回数据,system权限0.0.可以直接添加administrator的用户.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
C:\RECYCLER\pr.exe “net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add”
添加一个xiaoguai的账号,密码是h4x0er.com,把xiaoguai这个账号添加进administrators这个组里面.
接着我们就查看一下3389的端口.点击读取注册表,读取HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
这个键里面的值.
2012年07月24日 - 维护网络界的和平 - 龙少Blog
然后就直接3389登陆吧
2012年07月24日 - 维护网络界的和平 - 龙少Blog
以刚才添加账号的登陆进去了.
文章中使用的windows exploit
http://115.com/file/c2wi2jk6#提权工具集合.rar
doc文档
http://115.com/file/e70c7to4#本地溢出提权.doc
 
  评论这张
 
阅读(371)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017