我要评论
三、寻找突破点
没想到iis权限配置的这么bt,现在唯一的方法就是找一个能执行的目录,还能写入文件,可是权限配置的这么bt,要找到这样的目录真的很困难,也许都没有,不过一般c:\winnt我想应该能进入,浏览里面的目录和文件,因为iis5.0的internet 来宾帐户一般都是guests权限,而winnt目录都给予guests权限读取、运行和列出文件夹目录,就是不能写入,如果winnt目录不给予这样的权限,可以系统里的一些服务就不能正常运行,所以还是在c:\winnt里找找突破点,也就是可能存在可以写入的目录,先试试可不可以读取文件,在asp站长助手的"地址栏"里输入"c:\winnt"(如图7)看到了吧,果然能浏览文件和文件夹,就是不能写入文件,现在就要找到一个能写入和能执行的目录,然后上传一个本地溢出程序,进行本地溢出得到管理员权限。不过winnt目录里有这么多文件夹,怎么找?如果一个一个的找,要找到什么时候?于是经过一阵沉思,突然想到,iis的那个文件夹,也就是在c:\winnt\system32\inetsrv目录里会不会有这样的目录?因为iis的internet 来宾帐户很可能要调用inetsrv目录里的一些文件,或是加载文件,而这就要求必须有写权限,于是马上进入c:\winnt\system32\inetsrv目录里,发现里面有一个data目录,于是试着在里面建一个文件,在asp站长助手里点击左边的那个"新建文本",随便建一个文件试试,哈哈,没想到真的成功了(如图8),我在里面建了一个serv.txt的文本文件,看来能写入,不知道能不能执行,于是马上把cmd.exe上传到c:\winnt\system32\inetsrv\data目录里,再点击左边的"命令行模块",在最下面的"shell路径:"下填写c:\winnt\system32\inetsrv\data\cmd.exe,因为我在data目录里上传了一个cmd.exe,就以data下的cmd.exe运行,而c:\winnt\system32\的cmd.exe没有执行权限,bt空间商把来宾用户的权限取消了,填写好后在"执行"按扭上面输入ipconfig /all命令,主要是看看能不能执行(如图9),哈哈,真的成功了,突然发现胜利的曙光在眼前一闪^_^。
四、进行权限提升,进行bug修补
现在就来提升权限,不过我听空间商说,过了sp4的那些本地溢出漏洞他都补了,就连最近新出的一些都补掉了,所以我就不在这里做这些没用的事浪费时间了,用社会工程学觉得没必要,对了,试试serv-u的那个本地权限提升工具,具我预感应该可以,因为我听说serv-u5.2的那个用户和密码还是没改,应该还存在这样的漏洞吧?好了,废话不多说,来试试,用asp站长助手上传serv-u的那个溢出程序,上传到data目录里,然后进行溢出,命令是:serv-u "要执行的命令",比如我想建一个yibing的用户,就输入serv-u "net user yibing /add",呵呵,没想到真的溢出成功了,真想不通怎么最新的seru-u程序也存在这样的bug,现在就是看看终端开的没有,上传了mport.exe,发现5921这个端口就是终端的端口,由于篇幅的原因,这些我就不再截图了,于是连接终端,进入后在administrator这个管理员用户的桌面上建了一个txt的文件,里面写了几句话,提个醒。
现在我拿到了管理员权限,因为是自己家的服务器,所以就把这两个bug给补好吧,首先先把c:\winnt\system32\inetsrv\data这个目录的everyone删掉就可以了,这样就不能写入文件了,everyone权限是所有用户的意思,只要加上这个权限,不管是administrators权限还是guests权限,都包括在everyone权限里,然后就是修补serv-u这个bug了,在这里我用藏鲸阁里开发的一个工具,用法很简单,打开后点击"选择"按扭选择serv-u所在的目录,然后在第一行"管理端口"里改一下那个致命的端口,再在下面的"管理帐号"里改一下serv-u里的那个管理员用户,在这里要注意了,长度一定要为18个字符,如果长了或短了很可能会出现意外的错误,下面的"管理密码"也要改,长度一定要是14个字符,都填好修改的内容后点下面的"修改"按扭,如果成功会提示修改成功的对话框,不过一定要注意,在修改之前,必须要把serv-u的所有进程和服务都关掉!
五、总结
经过依冰测试,通过此方法入侵,我一夜就搞定了四台空间服务器,根本上是iis5.0 serv-u,有一个webshell就可以搞得定,因为这是win2000默认配置的权限,而且又在系统目录里,所以一般没有管理员去特意的配置它。希望国内多多重视一下网络安全,好了,就到这里吧,如果文中有什么错误或不明白的地方,可以来x档案官方论坛和我探讨。(相关程序都已经收录)
发表评论