吐血推荐－巧用网站配置文件提高权限！！！

 

巧用网站配置文件提高权限

本文已被***手册杂志2007年第三期收录

朋友给我发来一个Asp的Webshell的地址，而后又给我发了一条消息“痛苦，拿到Webshell，因为权限过低，什么也干不了！（图1）”，黑友在进行SQL注入碰见的这种状况特别多，上传的Asp***可能只能浏览当前站点目录，不能执行命令等等。我没有直接回复他，而是经过他的Webshell进行了详细的勘查，在网络***中，信息的收集和分析很是重要，能够说拿到Webshell仅仅是网络***的开始，而不是结束，由于后面还有不少东东须要作，好比提高权限，装后门，挂马，网络扩展和***等等。其中最重要的就是提高权限，若是没有合适的权限，那就意味着后面全部步骤都是白搭。本文就如何提高网站权限方面给出一种方便快捷的方法，可供广大黑友参考，下面给出了提高权限的步骤。

图1 朋友给的Webshell

（一）系统信息收集

对于系统信息收集，不少朋友都很熟悉，在asp、asp.net***中都有一个“服务器信息”连接，能够很方便的查看服务器的硬件和软件相关信息。可是这些信息只是一个初步信息，须要更进一步获取信息，例如是否能够浏览操做系统安装磁盘的文件及其目录、是否可写等等。

经过“海洋顶端2006”，我收集到最重要的一条信息是该服务器支持Asp.net，所以我经过“海洋顶端2006”网页***上传了一个Aspx的网页***（图2），其通用名称为“webadmin”，其功能跟“海洋顶端2006”网页***相似，只是它用asp.net写的，上传上去之后在浏览器中输入相应的地址，哈哈，运气太好了，运行正常（图3）。

说明：在“海洋顶端2006”及其其它相似网页***中，文件上传是一个很是重要的环节，上传一些可执行***程序或者其它一些工具，而后利用社会工程学的原理，将该可执行文件命名为该机器上面已经存在的可执行文件，而后诱使管理员或者机器主人运行它。该方法的缺点是***一旦发现，被查杀的概率在90以上。并且要假装成正常文件其难度较高。

图2 利用海洋顶端2006上传文件

图3支持Asp.net的网页***

（二）寻找突破口

对于网站提高权限来说，最便捷快速的方法就是经过数据库链接，目前一些网站都采用了Windows 2003 Server，这种机器通常配置都较好，彻底性方面跟Windows2000 Server相比有了较大提升，虽然如此，却也不是不能进行突破的。网络没有绝对的安全，在Windows 2003 Server就是如此，在Windows 2003 Server中提供对asp.net技术的支持，其中最重要的一个文件就是Web.config（图4）。

图4 寻找Web.config文件

该文件必须放在网站的根目录中，若是没有该文件，一旦运行asp.net程序就会出错。，基本全部的配置信息都在该文件中。固然还有其它一些方法，因为本文主要是经过该配置文件提高权限，因此对其它方法不进行说明，只是将方法列出来：

（1）寻找“C:\Documents and Settings\Administrator\Application Data”下面是否有radmin.rpb，radmin.rpb文件是远程控制软件radmin3.0版本的地址簿，若是存在，若是运气好，里面可能保留有radmin的口令，经过radmin的客户端能够直接登陆进行控制。

（2）寻找“C:\Documents and Settings\Administrator\Application Data\GlobalSCAPE\”下面是否存在sm.dat，若是存在该文件，则能够在本地直接经过运行GlobalSCAPE而导入sm.dat文件，而后就能够下载和上传文件，后续控制就不用说了。

（3）查看是否存在Serv-U，关于Serv-U提高权限比较多，本文再也不赘述。

（4）查看“C:\Documents and Settings\All Users”是否存在Pcanywhere，若是存在则将该目录下面的全部cif文件下载回来，经过PcAnyWhere密码破解工具获取密码和用户名，而后直接功过PcAnyWhere链接便可，呵呵，若是可行，千万记得必定得找主人不在的时候。

本文经过Webshell将Web.config文件下载到本地，而后经过UltraEdit打开该文件，从中能够获取不少有用的信息（图5），知道运行数据库服务器的类型为SQL Server，IP地址为127.0.0.1，说明数据库和Web服务器在同一台机器上面。其数据库用户权限为sa，数据库密码为“adminedp”，链接的超时时间为“10000”。

说明：Web.config只能经过一些编辑器打开，Web.config是网站的配置文件，网站安全设置，网站数据库链接信息，网站出错处理等等，通常是以XML格式生成的。

图5 获取数据库密码和账号

（三）提高权限

     网站默认支持asp，对于大多数Windows 2003 Server服务器，其网站都会支持asp.net，若是使用asp***不能提高权限，则能够经过asp.net网页***来提高权限。我用的Asp.net的Webshell是Webadmin，其中就有一个经过数据库来执行sqlrootkit命令的功能。在Host中输入主机地址“127.0. 0.1 ” 或者是主机的真实IP地址，在sql name中输入数据库用户“sa”，在SQL Password中输入刚才获取的密码，而后在“Command”中分别命令“net user temp hackerhand /add”、“net localgroup administrators temp /add”，若是没有什么意外，通常都能执行成功（图6，图7）。

图6 链接数据库并添加temp用户

图7添加temp用户到管理员组

    在添加用户时，有的服务器对口令有限制，例如必须是数字、大小写字母和特殊字符的组合，而且要求有必定的位数。呵呵，这个口令就不用我多费口水了，添加用户后，虽然显示结果表示成功，可是还须要经过“net localgroup administrators”命令 进行核实，以确保添加用户成功，经过图8咱们看到刚才添加的temp用户已经成功。

图8 查看已经添加的用户

（四）实施控制

     对于服务器来说，最方便的办法就是直接开启3389，经过查看端口和在本地端口扫描发现该机器远程终端服务已经启动（图9，图10），而后经过本地进行登陆。开放3389有多种方法：

（1）经过mt的“mt -setupts”来安装终端服务。“Mt –chkts”能够查看3389终端开启状况。

（2）使用rots.vbs脚本

Rots.vbs是由网名为“灰色轨迹zzzevazzz”写的一个VBS脚本，该脚本经过系统中自带的cscript.exe应用程序来执行，使用该脚本能够开启终端服务以及修改终端服务端口，其使用格式为：

cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr

（3）使用bat命令

经过记事本创建一个bat文件，在其中分别输入如下内容：

echo [Components] > c:\sql

echo TSEnable = on >>sql

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

而后运行该批处理命令，从新启动计算机后，远程终端服务开启成功，该方法不能更改终端服务的端口。

（4）导入一个reg文件到须要开启终端服务的机器中^[3]

该方法主要是修改远程终端服务的端口及其相关设置，经过生成一个以reg为后缀的文件，将该文件导入到须要开启终端服务的计算机上。该方法比较隐蔽，经过服务管理器以及“net start”命令均不会发现终端服务已经启动。

（5）使用SQL注入软件启动3389服务

在Domain3.5以及教主的HDSI2.0 SQL等注入工具中均提供了开启3389终端服务功能，使用该类软件来开启3389的前提条件是运行Web服务的服务器必须存在SQL注入漏洞，并且数据库用户的权限较大，在SQL Server 2000中数据库用户必须为sa。

（五）打扫战场

     不少朋友在***成功后，大多不喜欢清理本身在***时留下的痕迹，这个习惯很很差哦。万一被**抓住，你留下来的痕迹颇有可能会做为证据遭到起诉，所以在彻底控制该机器后须要清理日志记录文件、临时文件、最近访问文件。在远程登陆和实施***时最好使用跳板，这样即便查，也相对较难一些。