同《 N点虚拟主机提权实例 》一样,这台主机也是趟枪。今天有人问有没有没加密的asp的webshell,他说因为很多加密过的webshell都有后门,要么就没几天就被人挂上马了,不加密的好点 我说我找个空间传上去,大家一起下载好了。然后。。。随便找了个asp空间,这台服务器就趟枪了 虚拟主机 被提权的 漏洞 很多出在对目录权限设置上面,这一台也不例外。首先拿到了webshell(这个过程就不说了) 服务器虽然支持asp,aspx和php,但是权限被设置的都很死,我把cmd.exe传到C盘根目录,也仍然无法执行cmd命令。这可能意味着溢出提权是不可能了 提权分很多种,例如溢出提权有pr提权,ms11-046提权,iis7提权等等,这些都是溢出提权,在users或者其他低权限下运行一个溢出程序获得SYSTEM权限,如果服务器不能执行任何exe程序或者cmd命令,溢出提权的路就不能走了。 因为服务器本身就存在一些SYSTEM权限的服务,例如杀毒软件,数据库,FTP软件等等,我们本文就是利用SYSTEM权限提权的例子。 服务器支持asp,aspx和php,既然cmd不能执行,就只能先翻翻目录,扫扫环境好了。 扫到serv-u运行,但是密码未知,MySQL和MSSQL都有,估计可能都是system权限。下面就是选择用哪个system权限的服务提权了。 php和asp都翻不到有用的目录,而aspx却可以翻到很多目录。 不过这些目录虽然可以历遍,但是大部分重要目录都不能访问,例如serv-u和mysql都不能访问。 我发现了几个 [复件 Serv-u]和[复件 HZHost]这样的文件夹,但是这些文件夹能访问且列出文件目录,但是文件却无法 下载 。看来还是不行 不过很狗血。最后发现G盘(备份盘)的 数据库 备份文件夹却可以访问,而且文件可以下载。于是下载了/ mysql /data/mysql/user.MYD文件,读取了mysql的hash MySQL的hash为*F0B9E1FEACB514724519B70583B6D887483E5192,解密得到明文xwr6826813,不支持外链。MYSQL的版本为5.0.x 直接创建自定义函数 但是创建自定义函数提权时,提示不能将mysql.dll写入system32文件夹。看来还是对目录设置了权限。郁闷 既然这样,那我读取serv-u的配置文件好了 用mysql的root账户执行
select load_file('E:\\Serv-U\\ServUDaemon.ini')
但是提示:执行失败 Can't get stat of 'E:\Serv-U\ServUDaemon.ini' (Errcode: 2)
这就意味着这个serv-u的上级目录,也就是E盘根目录对权限做了设置,MySQL没权,读不了 现在提权陷入僵局啊 既然MySQL不行,那换MSSQL好了 \MSSQL\Data\master.mdf下载下来了,但是我转念一想 MSSQL和MYSQL放到了一起,会不会MSSQL的sa的密码和MYSQL的root密码是一样的呢 试着登陆了一下,结果更狗血,还真是一样的 那不废话了,直接用xp_cmdshell执行cmd命令 提示未找到储存过程。郁闷。sp_oacreate也跟xp_cmdshell一样 从网上搜了一下,但是网上说的解决方法都不能用。 什么恢复啊什么什么的,不是xp_cmdshell已经存在就是sp_oacreate无效的 最后想到了一个简单方法:
drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
www.2cto.com 既然提示已经存在,那就先卸载,然后恢复,就OK了 说到这里,我想后面就没必要说下去了吧 作者:YoCo Smart 来自: Silic Group Hacker Army BlackBap.Org查看更多关于HZHost虚拟主机提权实例 - 网站安全 - 自学php的详细内容...