管理员权限上传漏洞解析

这两天很无聊,趁着放假的时间就准备练习下自己的入侵技术,没有什么目标就准备测试下周围大学网站的安全性,顺便拿网站练练手 。大部分这些网站的管理员应该说安全意识都不错的,毕竟都是大学的管理员啊!可是测试结果很不近人意,最后结果都拿到了管理员权限 。但是也并不是一帆风顺的,好多时候管理员总是设置些不大不小的障碍,跟人开的玩笑还真有点让人一下子不知道怎么办 。这里写出来的意思算就是给各位入侵者一些小小的经验和管理员一点点的提醒吧!
废话少说,我就把入侵中遇到的一些小麻烦组合到一次入侵中吧!现在的网站一般都有防火墙,一些很有钱的大学甚至会有硬件防火墙,所以从开始我就没有打算从正面突破,随便telnet了几个端口在看到长长的延时后就直接转到了web程序方面 。看了下网站的应用程序,都是asp版本的,可是看了一会发现有个url管理系统下面的版权所有赫然写着2002-2003!汗,这样的程序一般是漏洞齐全啊!于是找了一个隐藏的url然后直接\暴库,得到路径后下载数据库,得到帐号密码后到新闻系统直接进入后台,修改上传类型为可以上传asp文件,然后……(这里是介绍突破管理员的一些设置,就不讲如何入侵了和抓图了,反正大家都很熟悉^_^) 。
马上遇到管理员跟我们开的第一个玩笑了,上传的时候明明已经修改为可以上传asp的文件类型,但是就是提示不允许,嘿嘿,没关系,我修改为可以上传cer文件得到上传的木马如图一 。于是我兴冲冲的准备写asp木马了,用的是修改了的海洋木马,这里保存为了test.asp文件,但是访问的时候居然是404不存在 。汗,有杀毒软件?没关系,呵呵,再保存为cer文件试试,居然还是404!于是又选择保存为gif居然都失败了,include预处理的方法都不行了 。于是保存一个内容为的文本文档,再访问的时候过了一段时间居然可以访问,基本确定是很BT的杀毒软件了 。不过对内容不过滤那就好办啊,将保存为一个111.asp 。哈哈,出来了!用客户端连上去,OK!如图二 。避开杀毒软件了 。这里,算是管理员设置的一个阻碍吧!这里我看到好多人躲开杀毒软件的办法都是加密的方式,但是还是躲不开一个execute()函数的,如果杀毒软件将这个字符串也列为查杀对象的话,估计还得搞点大小写转换的技巧 。还有一种木马是以例似的形式,后面就是加密或者不加密的代码了,但是还是逃不了那个
好了,连上去了四处看看可是好象有一个文件夹居然不能操作啊!看看,上传文件总是出现如图三 。开始还以为出现什么问题呢,明明不存在同名文件啊,以为是权限的原因,但是我不是已经写上了asp文件么?奇怪!看了半天看到文件夹的名字里有个#号 。汗,不会是这个搞的鬼吧!当时一些管理员为防止人下载将数据库名字里加这个#,这位倒很有个性啊,在文件夹里加这个,不知道的人还真郁闷呢!嘿嘿!,在操作里将#改成#,哈哈果然可以操作了 。管理员第二个小玩笑就这样被破除了 。
可以操作文件后当然是看是否可以提升权限了,打开海洋木马操作命令,出现的情况有点郁闷 。提示文件无法被打开啊!如图四 。一般这样的情况要么是cmd.exe被设置了权限要么就是这个目录不可以写,不能保存temp文件 。好说,先上传个cmd.exe到这个目录试试 。上传后在cmd.exe路径里填写该cmd.exe文件的路径,再执行netuser试试,哈哈,出来了吧!这是比较幸运的情况,有时候什么都可以传上去,但是cmd.exe就是传不上去,不过也没有关系啊!我一般直接传上net.exe然后在参数里写上user或者start,效果一样的好啊!如图五呵呵!这里就看看netstart里的有个server-u,哈哈 。死定了他!其实这在海洋木马的查看进程里也可以看到的 。于是传上server-u本地溢出工具,嘿嘿,执行命令成功!不用说了,这是system权限啊!轻松突破设置得不严密的权限 。

推荐阅读