Guest权限突破

CCenter.exe，而Rising Realtime Monitor Service服务调用的是RavMonD.exe。这些都是第三方服务，可以利用。（强烈推荐替换第三方服务，而不要乱动系统服务，否则会造成系统不稳定）于是我们搜索这两个文件，发现他们在D: risingrav文件夹中，此时注意一点：如果此文件是在系统盘的Program Files目录中时，我们要知道，如果对方是使用的NTFS格式的硬盘，那么系统盘下的这个文件夹guest权限是默认不可写的，还有Windows目录、Documents and Settings目录这些都是不可写的，所以我们就不能替换文件，只能令谋途径了。（这也是为什么我不建议替换系统服务的原因之一，因为系统服务文件都在WindowsSystem32目录中，不可写）但如果是FAT32格式就不用担心，由于它的先天不足，所有文件夹都是可写的。 
于是就有人会问：如果是NTFS格式难道我们就没辙了吗？ 
当然不是，NTFS格式默认情况下除了对那三个文件夹有限制外，其余的文件夹、分区都是everyone完全控制。（也就是说我即使是IPC$的匿名连接，都会对这些地方有可写可运行权限！）所以一旦对方的第三方服务不是安装在那三个文件夹中，我们就可以替换了！我就拿CCenter下手，先将它下载到本地机器上（FTP、放到IIS主目录中再下载等等……）然后拿出你的文件捆绑机，找到一个你最拿手的后门……呵呵，捆绑好后，上传，先将对方的CCenter.exe文件改个名CCENTBAK.exe，然后替换成自己的CCenter。现在只需要等对方的机器重启，我们的后门就可以运行了！由于Windows系统的不稳定，主机在一个礼拜后就会重启，（当然如果你等不及的话，可以对此服务器进行DDOS攻击迫使他重启，但我并不赞同！）此时登上你的后门，就是System权限了！ 
5、替换admin常用程序。 
如果对方没有你所能利用的服务，也可以替换对方管理员常用的程序，例如QQ，MSN等等，具体替换方法与替换服务一样，只是你的后门什么时候可以启动就得看你的运气了。 
6、利用autorun .inf或desktop.ini。 
我们常会碰到这种事：光盘放进光驱，就会自动跳出来一段FLASH，这是为什么？呵呵，你到光盘的根目录中看看，是否有一个autorun.inf的文件？用记事本打开来看看，是不是有这么一句话：autorun=xxx.exe 这就是你刚才所看到的自动运行的程序了。 
于是我们就可以利用这个来提升我们的权限。先配置好一个后门，（我常用的是winshell，当然你不用这个也行）上传到他D盘下的任意一个文件夹中，然后从你那个自运行的光盘中把autorun.inf文件也上传，不过上传前先将autorun=xxx.exe 后面的xxx.exe改为你配置的后门文件途径、文件名，然后再上传到d盘根目录下，加上只读、系统、隐藏属性。OK就等对方admin浏览D盘，我们的后门就可以启动了！（当然，这必须是在他没有禁止自动运行的情况下才行。） 
另外有相同作用的是desktop.ini。大家都知道windows支持自定义文件，其实它就是通过在文件夹中写入特定文件——desktop.ini与Folder.htt来实现的，我们就可以利用修改这文件来达到我们的目的。 
首先，我们现在本地建立一个文件夹，名字不重要，进入它，在空白处点右键，选择“自定义文件夹”（xp好像是不行的）一直下点，默认即可。完成后，你就会看到在此目录下多了两个名为Folder setting的文件架与desktop.ini的文件，（如果你看不到，先取消“隐藏受保护的操作系统文件”）然后我们在Folder setting目录下找到Folder.htt文件，记事本打开，在任意地方加入以下代码： 
<OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的后门文件名”> 
</OBJECT> 
然后你将你的后门文件放在Folder setting目录下，把此目录与desktop.ini一起上传到对方任意一个目录下，就可以了，只要等管理员浏览了此目录，它就执行了我们的后门！（如果你不放心，可以多设置几个目录） 
7、Serv-U提升权限 
利用Serv-U提升权限共有三种方法，溢出是第一种，我之前已经说过，这里就不介绍了。我要讲的是其余两种办法。 
办法一：要求：对Serv-u安装目录有完全控制权。 
方法：进入对方的Serv-U目录，察看他的ServUDaemon.ini，这是Serv-U的配置文件，如果管理员没有选择将serv- u的所有配置写入注册表的话，我们就可以从这个文件中看到Serv-U的所有信息，版本、IP、甚至用户名与密码！早些版本的密码是不加密的，但是后来是经过了MD5加密。所以不能直接得到其密码。不过我们仍然有办法：先在本地安装一个Serv-U（版本最好新点），将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉，重起一下Serv-U，于是你上面的所有配置都与他的一模一样了。我们新建一个用户，什么组不重要，重要的是将他的主目录改为对方的系统盘，然后加上执行权限！这个最重要。更改完后应用，退出。再将你更改过的ServUDaemon.ini 文件上传，覆盖掉他的文件，然后就等他的Serv-U重启更新配置，之后我们就可以登入他的FTP。进入后执行以下命令： 
Cd windows 
Cd System32 
Quote site exec net.exe user wofeiwo /add 
Quote site exec net.exe localgroup administrators wofeiwo /add 
Bye 
然后你就有了一个叫wofeiwo的系统管理员了，还等什么?登陆3389，大功告成！ 
办法二：Serv-u开了两个端口，一个是21，也就是ＦＴＰ了，而另一个是43958，这个端口是干什么的？嘿嘿，这个是Ｓｅｒｖ－Ｕ的本地管理端口。但是默认是不准除了１２７．０．０．１外的ｉｐ连接的，此时就要用到FPIPE.exe文件，这是一个端口转发程序，上传他，执行命令： 
Fpipe –v –l 3333 –r 43958 127.0.0.1 
意思是将4444端口映射到43958端口上。 
然后就可以在本地安装一个Serv-u，新建一个服务器，IP填对方IP，帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的Serv-u了，之后提升权限的方法参考办法一。我就不赘述了。 
8、SQL帐户密码泄露。 
如果对方开了MSSQL服务器，我们就可以通过用SQL连接器加管理员帐号，因为MSSQL是默认的SYSTEM权限。 
要求：你得到了对方MSSQL管理员密码（可以从他的连接数据库的ASP文件中看到）,对方没有删除xp_cmdshell 
方法：使用Sqlexec.exe，在host 一栏中填入对方IP，User与Pass中填入你所得到的用户名与密码。Format选择xp_cmdshell”%s”即可。然后点击connect，连接上后就可以在CMD一栏中输入你想要的CMD命令了。 
唔……升个懒腰，好累阿，终于写完8个方法了，发发牢骚……（以下省略N字符） 
总之，以上的8种方法并不是绝对的，最主要的是你的思路，每种方法互相结合，才能发挥其应有的效应。
 

上一页  [1] [2]