吐血推薦－巧用網站配置文件提高權限！！！

 

巧用網站配置文件提高權限

本文已被***手冊雜誌2007年第三期收錄

朋友給我發來一個Asp的Webshell的地址，而後又給我發了一條消息「痛苦，拿到Webshell，因爲權限過低，什麼也幹不了！（圖1）」，黑友在進行SQL注入碰見的這種狀況特別多，上傳的Asp***可能只能瀏覽當前站點目錄，不能執行命令等等。我沒有直接回復他，而是經過他的Webshell進行了詳細的勘查，在網絡***中，信息的收集和分析很是重要，能夠說拿到Webshell僅僅是網絡***的開始，而不是結束，由於後面還有不少東東須要作，好比提高權限，裝後門，掛馬，網絡擴展和***等等。其中最重要的就是提高權限，若是沒有合適的權限，那就意味着後面全部步驟都是白搭。本文就如何提高網站權限方面給出一種方便快捷的方法，可供廣大黑友參考，下面給出了提高權限的步驟。

圖1 朋友給的Webshell

（一）系統信息收集

對於系統信息收集，不少朋友都很熟悉，在asp、asp.net***中都有一個「服務器信息」連接，能夠很方便的查看服務器的硬件和軟件相關信息。可是這些信息只是一個初步信息，須要更進一步獲取信息，例如是否能夠瀏覽操做系統安裝磁盤的文件及其目錄、是否可寫等等。

經過「海洋頂端2006」，我收集到最重要的一條信息是該服務器支持Asp.net，所以我經過「海洋頂端2006」網頁***上傳了一個Aspx的網頁***（圖2），其通用名稱爲「webadmin」，其功能跟「海洋頂端2006」網頁***相似，只是它用asp.net寫的，上傳上去之後在瀏覽器中輸入相應的地址，哈哈，運氣太好了，運行正常（圖3）。

說明：在「海洋頂端2006」及其其它相似網頁***中，文件上傳是一個很是重要的環節，上傳一些可執行***程序或者其它一些工具，而後利用社會工程學的原理，將該可執行文件命名爲該機器上面已經存在的可執行文件，而後誘使管理員或者機器主人運行它。該方法的缺點是***一旦發現，被查殺的概率在90以上。並且要假裝成正常文件其難度較高。

圖2 利用海洋頂端2006上傳文件

圖3支持Asp.net的網頁***

（二）尋找突破口

對於網站提高權限來說，最便捷快速的方法就是經過數據庫鏈接，目前一些網站都採用了Windows 2003 Server，這種機器通常配置都較好，徹底性方面跟Windows2000 Server相比有了較大提升，雖然如此，卻也不是不能進行突破的。網絡沒有絕對的安全，在Windows 2003 Server就是如此，在Windows 2003 Server中提供對asp.net技術的支持，其中最重要的一個文件就是Web.config（圖4）。

圖4 尋找Web.config文件

該文件必須放在網站的根目錄中，若是沒有該文件，一旦運行asp.net程序就會出錯。，基本全部的配置信息都在該文件中。固然還有其它一些方法，因爲本文主要是經過該配置文件提高權限，因此對其它方法不進行說明，只是將方法列出來：

（1）尋找「C:\Documents and Settings\Administrator\Application Data」下面是否有radmin.rpb，radmin.rpb文件是遠程控制軟件radmin3.0版本的地址簿，若是存在，若是運氣好，裏面可能保留有radmin的口令，經過radmin的客戶端能夠直接登陸進行控制。

（2）尋找「C:\Documents and Settings\Administrator\Application Data\GlobalSCAPE\」下面是否存在sm.dat，若是存在該文件，則能夠在本地直接經過運行GlobalSCAPE而導入sm.dat文件，而後就能夠下載和上傳文件，後續控制就不用說了。

（3）查看是否存在Serv-U，關於Serv-U提高權限比較多，本文再也不贅述。

（4）查看「C:\Documents and Settings\All Users」是否存在Pcanywhere，若是存在則將該目錄下面的全部cif文件下載回來，經過PcAnyWhere密碼破解工具獲取密碼和用戶名，而後直接功過PcAnyWhere鏈接便可，呵呵，若是可行，千萬記得必定得找主人不在的時候。

本文經過Webshell將Web.config文件下載到本地，而後經過UltraEdit打開該文件，從中能夠獲取不少有用的信息（圖5），知道運行數據庫服務器的類型爲SQL Server，IP地址爲127.0.0.1，說明數據庫和Web服務器在同一臺機器上面。其數據庫用戶權限爲sa，數據庫密碼爲「adminedp」，鏈接的超時時間爲「10000」。

說明：Web.config只能經過一些編輯器打開，Web.config是網站的配置文件，網站安全設置，網站數據庫鏈接信息，網站出錯處理等等，通常是以XML格式生成的。

圖5 獲取數據庫密碼和賬號

（三）提高權限

     網站默認支持asp，對於大多數Windows 2003 Server服務器，其網站都會支持asp.net，若是使用asp***不能提高權限，則能夠經過asp.net網頁***來提高權限。我用的Asp.net的Webshell是Webadmin，其中就有一個經過數據庫來執行sqlrootkit命令的功能。在Host中輸入主機地址「127.0. 0.1 」 或者是主機的真實IP地址，在sql name中輸入數據庫用戶「sa」，在SQL Password中輸入剛纔獲取的密碼，而後在「Command」中分別命令「net user temp hackerhand /add」、「net localgroup administrators temp /add」，若是沒有什麼意外，通常都能執行成功（圖6，圖7）。

圖6 鏈接數據庫並添加temp用戶

圖7添加temp用戶到管理員組

    在添加用戶時，有的服務器對口令有限制，例如必須是數字、大小寫字母和特殊字符的組合，而且要求有必定的位數。呵呵，這個口令就不用我多費口水了，添加用戶後，雖然顯示結果表示成功，可是還須要經過「net localgroup administrators」命令 進行覈實，以確保添加用戶成功，經過圖8咱們看到剛纔添加的temp用戶已經成功。

圖8 查看已經添加的用戶

（四）實施控制

     對於服務器來說，最方便的辦法就是直接開啓3389，經過查看端口和在本地端口掃描發現該機器遠程終端服務已經啓動（圖9，圖10），而後經過本地進行登陸。開放3389有多種方法：

（1）經過mt的「mt -setupts」來安裝終端服務。「Mt –chkts」能夠查看3389終端開啓狀況。

（2）使用rots.vbs腳本

Rots.vbs是由網名爲「灰色軌跡zzzevazzz」寫的一個VBS腳本，該腳本經過系統中自帶的cscript.exe應用程序來執行，使用該腳本能夠開啓終端服務以及修改終端服務端口，其使用格式爲：

cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr

（3）使用bat命令

經過記事本創建一個bat文件，在其中分別輸入如下內容：

echo [Components] > c:\sql

echo TSEnable = on >>sql

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

而後運行該批處理命令，從新啓動計算機後，遠程終端服務開啓成功，該方法不能更改終端服務的端口。

（4）導入一個reg文件到須要開啓終端服務的機器中^[3]

該方法主要是修改遠程終端服務的端口及其相關設置，經過生成一個以reg爲後綴的文件，將該文件導入到須要開啓終端服務的計算機上。該方法比較隱蔽，經過服務管理器以及「net start」命令均不會發現終端服務已經啓動。

（5）使用SQL注入軟件啓動3389服務

在Domain3.5以及教主的HDSI2.0 SQL等注入工具中均提供了開啓3389終端服務功能，使用該類軟件來開啓3389的前提條件是運行Web服務的服務器必須存在SQL注入漏洞，並且數據庫用戶的權限較大，在SQL Server 2000中數據庫用戶必須爲sa。

（五）打掃戰場

     不少朋友在***成功後，大多不喜歡清理本身在***時留下的痕跡，這個習慣很很差哦。萬一被**抓住，你留下來的痕跡頗有可能會做爲證據遭到起訴，所以在徹底控制該機器後須要清理日誌記錄文件、臨時文件、最近訪問文件。在遠程登陸和實施***時最好使用跳板，這樣即便查，也相對較難一些。