在Windwos 2003下的權限提升!
添加時間:2010-11-18
添加:
admin
前幾天滲透了某大型網站,興奮中。拿到WebShell后,第一個念頭就是提升權限,把偶親愛的后門掛到系統里。熟練的打開CMD,輸入NET USER。 不是好兆頭,接著在WSCRIPT組件前打鉤,再次執行NET USER。
提示倒是換了,但是結果一樣。接著偶想到了上傳CMD.EXE,但是Windows 2003的上傳在默認時是有限制的,不能大于200K,于是我上傳了經典的Serv-U本地溢出程序,使用在Windows 2000下沒有禁用WSCRIPT時的無敵調用提權大法。
其實就是在調用CMD的地方寫上本地溢出程序的路徑及參數,一般在沒有禁止WSCRIPT組件時,此法的成功率很高。但是結果依然是“禁止訪問”,看來Windows 2003在默認情況下,安全性比Windows 2000默認時要強許多。失望之余,想到干脆去首頁掛個馬吧,最近正在玩PcShare,嘿嘿。跑到首頁,加入偶的木馬代碼,點保存,“沒有權限”,偶倒!太BT了吧?連修改首頁的權限都沒?管理員一定是把IIS用戶降低到了GUEST組,或者給IIS目錄單獨設置了一個GUEST組的用戶,并去掉了修改文件的權限。上帝太不公平了,怎么說都是偶辛辛苦苦搞來的Shell啊,現在一點用都沒有!
沒辦法,看看服務器里有啥好東西吧。翻來翻去,忽然眼前一亮:在某個目錄里發現了congif.aspx文件。寫到這里各位以為偶是要使用SA賬號,通過SQLROOTKIT執行系統命令吧?錯,偶看過了,賬號不是SA權限的,是PU權限,什么都不能做,而且也不屬于本文的介紹范圍。偶注意的“ASPX”這個后綴,在默認安裝情況下,IIS 6.0是支持.net的,也就是ASPX文件,但是在IIS 6.0里,ASP和ASPX兩個擴展使用的卻是2個不同的用戶角色,ASP使用的是IUSER用戶,管理員一般都比較注意這個賬號,害怕被提升權限,所以把權限都降低到了GUEST,所以在ASP的WebShell里什么也不能做了。但是網管往往忽略了ASPX!由于.net使用的系統賬號是ASPNET,而在默認情況下,這個賬號是屬于USER組的,這樣我們上傳一個.NET的后門上去,會以USER組的用戶ASPNET執行命令,權限會有很大的提高,就可以提權了!
說做就做,立即上傳了一個ASPX的后門上去,打開CMD模塊執行NET USER。
哇哈哈,果然不出偶所料,終于可以執行CMD了!來看看權限,輸入“net localgroup guests”。
看到了吧?剛才我們在AspWebShell中使用的賬號是IUSER_WEBSITE,屬于GUESTS組,難怪什么權限都沒有呢。再來看一下USERS組。
ASPNET就是現在我們的AspxShell使用的賬號,權限是USERS,比Guest大好多,嘿嘿!
其實這并不算是什么漏洞,只是由于管理員粗心大意造成的隱患而已。算是提升權限的一個思路吧。如果管理員把ASPNET也降低權限,或者刪除ASPX這個擴展,本文的方法就不管用了,不過這樣的管理員到目前我還沒遇到過。總之,整體安全才是最重要的。不要放過每一個細節
提示倒是換了,但是結果一樣。接著偶想到了上傳CMD.EXE,但是Windows 2003的上傳在默認時是有限制的,不能大于200K,于是我上傳了經典的Serv-U本地溢出程序,使用在Windows 2000下沒有禁用WSCRIPT時的無敵調用提權大法。
其實就是在調用CMD的地方寫上本地溢出程序的路徑及參數,一般在沒有禁止WSCRIPT組件時,此法的成功率很高。但是結果依然是“禁止訪問”,看來Windows 2003在默認情況下,安全性比Windows 2000默認時要強許多。失望之余,想到干脆去首頁掛個馬吧,最近正在玩PcShare,嘿嘿。跑到首頁,加入偶的木馬代碼,點保存,“沒有權限”,偶倒!太BT了吧?連修改首頁的權限都沒?管理員一定是把IIS用戶降低到了GUEST組,或者給IIS目錄單獨設置了一個GUEST組的用戶,并去掉了修改文件的權限。上帝太不公平了,怎么說都是偶辛辛苦苦搞來的Shell啊,現在一點用都沒有!
沒辦法,看看服務器里有啥好東西吧。翻來翻去,忽然眼前一亮:在某個目錄里發現了congif.aspx文件。寫到這里各位以為偶是要使用SA賬號,通過SQLROOTKIT執行系統命令吧?錯,偶看過了,賬號不是SA權限的,是PU權限,什么都不能做,而且也不屬于本文的介紹范圍。偶注意的“ASPX”這個后綴,在默認安裝情況下,IIS 6.0是支持.net的,也就是ASPX文件,但是在IIS 6.0里,ASP和ASPX兩個擴展使用的卻是2個不同的用戶角色,ASP使用的是IUSER用戶,管理員一般都比較注意這個賬號,害怕被提升權限,所以把權限都降低到了GUEST,所以在ASP的WebShell里什么也不能做了。但是網管往往忽略了ASPX!由于.net使用的系統賬號是ASPNET,而在默認情況下,這個賬號是屬于USER組的,這樣我們上傳一個.NET的后門上去,會以USER組的用戶ASPNET執行命令,權限會有很大的提高,就可以提權了!
說做就做,立即上傳了一個ASPX的后門上去,打開CMD模塊執行NET USER。
哇哈哈,果然不出偶所料,終于可以執行CMD了!來看看權限,輸入“net localgroup guests”。
看到了吧?剛才我們在AspWebShell中使用的賬號是IUSER_WEBSITE,屬于GUESTS組,難怪什么權限都沒有呢。再來看一下USERS組。
ASPNET就是現在我們的AspxShell使用的賬號,權限是USERS,比Guest大好多,嘿嘿!
其實這并不算是什么漏洞,只是由于管理員粗心大意造成的隱患而已。算是提升權限的一個思路吧。如果管理員把ASPNET也降低權限,或者刪除ASPX這個擴展,本文的方法就不管用了,不過這樣的管理員到目前我還沒遇到過。總之,整體安全才是最重要的。不要放過每一個細節
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解