Win2003提权资料分享

一)前言

前阵子,在军爷那里找到一个pdf叫法克提权.pdf。看了一下感觉很不错。于是就去法克论坛里将这些文章都找到了,并且下载好了他的一些资料。拿出来和大家分享一下。现在还是有很多外围服务器是2003的,而且要继续内网深入渗透必须要提权拿下服务器的所有权限,所以win2003提权基础知识很重要的。Win2003知道以后其它window2008就类推了。

下面是这个pdf的目录:

图片1_~1.JPG

我已经将文章中的资料打包分享:链接: http://pan.baidu.com/s/1eQH2Dqy 密码: 7y5j

文档目录:

捕获_1~1.PNG

我只是记了一些自己以前没注意到的知识点。详细大家自己去看法克提权.pdf 已经非常详细咯

二)内容

第一章 Windows 2003服务器默认用户权限

0x01 WINDWOS2003下各类用户

0x02 WINDWOS2003常见用户组

介绍了win2003的用户和用户组,为下面打基础

文章链接:http://sb.f4ck.org/thread-3049-1-1.html

主要是users组、administrators组权限,System、Administrator、Guest、IUSR_*、IWAM_*帐户默认权限。它和提权关系比较密切。

注意:

IUSR:IUSR是给iis[web]访问者的权限

IIS_WPG :所有的IIS6调用进程都是运行在IIS_WPG 账号下的

-------

第二章 Windows 2003服务器默认文件夹权限

文章链接:http://sb.f4ck.org/thread-3058-1-1.html

Windows的文件以及文件夹属性,与提权息息相关。

Ntfs和fat32最大区别:-,fat32是不能设置权限的,ntfs可以

0x01 Windows目录的权限

完全控制,修改,读取和运行[cmd写的目录要可运行],列出文件夹目录,读取,写入[只有写权限的话不能删除和修改文件,要加上修改权限]

提权时候注意看是传上的东西是目录不可写还是给杀软杀了

0x02 权限的四个特性

继承性、累加性 、优先性、交叉性

0x03 三种文件和文件夹属性

只读,系统,隐藏

0x04 系统盘默认权限设置

------

第三章 Windows2003 Webshell默认权限

文章链接:http://sb.f4ck.org/thread-3089-1-1.html

Webshell权限就是iis的设置匿名访问用户的权限。默认是IUSR_*的权限。

iis的所有的工作进程,都是以Network Service的权限执行的。所以webshell的默认权限就是Network Service。

Network Service是Windows 2003中新内置的一个被严格限制的账号。另外,IIS 6.0只允许管理员执行命令行工具,从而避免命令行工具的恶意使用。这些设计上的改变,都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改 变、一些简单配置的更改(包括取消匿名用户向web服务器的根目录写入权限,和将FTP用户的访问隔离在他们各自的主目录中)都极大地提高了IIS 6.0的安全性。[略官方 = =]

当然我们可以让每个网站的对于不同的用户,将权限设置死,防止旁注的发生

-------

第四章 本地溢出

文章链接:http://sb.f4ck.org/thread-3140-1-1.html

我一般就拿了自己的提权工具包,然后一个一个尝试。但是其实每个溢出对于一个补丁。我们可以去查补丁打的情况。来找他没有补上的溢出。

文章作者给了我们补丁对应。这些exploit已经打包了。

KB2360937 MS10-084

KB2478960 MS11-014

KB2507938 MS11-056

KB2566454 MS11-062

KB2646524 MS12-003

KB2645640 MS12-009

KB2641653 MS12-018

KB952004 MS09-012  Pr.exe//常用,法克上看到了64位的 也给大家打包

KB956572 MS09-012  巴西烤肉//常用

KB971657 MS09-041

KB2620712 MS11-097

KB2393802 MS11-011 ms11011.exe

KB942831 MS08-005

KB2503665 MS11-046 ms11046.exe////这个直接加了90sec账户上去了 密码就是90sec

KB2592799 MS11-080 ms11080.exe//这个直接加了90sec账户上去了 密码就是90sec

另外我也想知道,那么iis6.exe已经ex_2003.exe[内核溢出]对应是什么补丁....

注意上传到文件目录最好不要带空格 可能没有回显.....

溢出有风险 小心蓝屏

......不少同学感觉直接溢出没有技术含量。。。但是溢出还是最简单的提权办法了。

------

第五章 Sql Server提权

文章链接:http://sb.f4ck.org/thread-3243-1-1.html

0x00  Sql Server简介

0x01  用户权限介绍

0x02  Sa用户提权

0x03  db_owner提权

作者给出的一个思路。在db_wner他所在管理的表里,创建一个触发器,等管理员用sa用户去执行插入表命令的时候会触发,达到提权的效果。感觉不错。

大家可以好好学习一下

-----

第六章 Mysql提权

文章链接:http://sb.f4ck.org/thread-3291-1-1.html

要是配置文件中找到不到root密码怎么办?

1.读取user.MYD。

要是webshell没有权限可以用mysql去load_file。要是mysql用户没有file权限请看这里:http://www.91ri.org/10405.html

http://zone.wooyun.org/content/12432

2.据说my.ini也会有root密码记录 - -但是我去看看了几台,并没有发现有root密码。。。

另外文中说的mysql降权的话也是要溢出提权的

---------

第七章 asp,aspx,php的dos命令执行

很多情况下,我们拿到webshell时候,是不能执行命令的。特别是安装了安全狗以后。这样让我们很蛋疼 = =。。。连命令都执行不了,那么去执行溢出就根本没有办法。只能去看看数据库或者servu什么的能不能有些希望。所以能不能执行命令对我们提权来说是十分重要的~

所以我们要去了解为什么不能执行命令,如果不能执行命令了我们该怎么办?我们可以去看看杨帆给的几篇文章

1.asp:

文章链接:

http://sb.f4ck.org/thread-3273-1-1.html ---wscript.shell

http://sb.f4ck.org/thread-3377-1-1.html---shell.application

一)wscript.shell

WScript.Shell(Windows Script Host Runtime Library)是一个对象,对应的文件是C:\WINDOWS\system32\wshom.ocx,Wscript.shell是服务器系统会用到的一种组件。shell 就是“壳”的意思,这个对象可以执行操作系统外壳常用的操作,比如运行程序、读写注册表、环境变量等。它常常用来执行命令

Asp可以调用wscript去执行命令,但是很多情况下,webshell对C:\windows\system32\cmd.exe无法访问。所以我们会看见很多人回去上传cmd.exe。 用菜刀或者大马如果看到:[Err] 拒绝访问,很有可能就是没有删除wscript组件,我们应该窃喜。呵呵。如果看:[Err] ActiveX 部件不能创建对象,说明wscript组件给管理员删去了。 或者你直接用大马去看组件信息。

图片2_~1.PNG

注意aspx不会提示[Err] 拒绝访问,而且就算wscript.shell给删除了,aspx在这个时候还是可以执行命令的。等等我们就知道为什么了。

二)shell.application组件

Shell.application组件可以替代wscript.shell被攻击者用来调用执行可执行程序。但是shell.application貌似没有输出。

所以凡哥还给出了利用脚本 也打包分享...

但是本机测试失败 0 0 它就加载不出来了 ....不是很清楚

三)组件备份

当我们实际中遇到wscript.shell和Shell.application都被卸载的时候,可以尝试他们的备用组件wscript.shell.1和Shell.application.1

-----------

2.aspx:

文章链接:http://sb.f4ck.org/thread-3402-1-1.html

Asp的组件调用如果没有删除的话,而且网站只支持aspx,那么aspx是可以和asp一样去调用组件的。

在.net环境下使用WScript.Shell组件.pdf 这个也是法克上面下的,分享.....

 

我们在前面发现:aspx不会提示[Err] 拒绝访问,而且就算wscript.shell给删除了,aspx在这个时候还是可以执行命令的。

这是为什么???

Aspx下一般使用process类来调用执行可执行程序,类一般不会去禁用他。他没有调用wscript,所以就是wscript删去了,aspx照常执行命令。但是为什么没有提示拒绝访问呢?这点我也是自己的猜想,不知道对不对。。。Asp执行是iuser权限,而aspx是调用了类或者其他api,那么iis6会用iis_wpg调用进程。也就是说这时候执行权限是iis_wpg,而cmd.exe对iis_wpg是有权限访问的。。[有知道原因的,希望教导...]

但是如果管理员限制cmd.exe权限的,我们还是要传cmd.exe[目录不要空格]

--------------

3..php

文章链接:http://sb.f4ck.org/thread-3412-1-1.html

php能不能执行命令和三个因素有关。

1.safe_mode

安全模式是php.ini里的一个参数名,这个参数是:safe_mode,

默认情况下,这个值是off。当safe_mode=on时,php运行在安全模式下,在安全模式下,很多php函数会受到限制,比如我们执行DOS命令所需要的system()函数、exec()函数等等,可以说,要想在php的webshell中执行DOS命令,safe_mode=off是一个必需条件。

2.disable_functions

在php.ini里,有一个名为disable_functions的参数。禁用函数。

system() 输出并返回最后一行shell结果。

exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。

passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。

escapeShellCmd()先把要执行的命令中的危险字符转义,然后再执行

还是上面的几个可以执行命令的函数给禁用了,那不能执行命令,或者你找到其他函数可以执行命令,而它不在禁用列表中。

不在disable_functions也是一个必需条件

3.访问权限

在评论区出现这个问题:如LZ所说,php调用自己的函数来执行DOS命令。现在我有一个webshell,php无法执行命令,也没有被禁用的函数,而且是非安全模式。那么,无法执行命令,就只有一种可能了:C:\windows\system32\cmd.exe无法访问。

这个问题应该是权限问题,php大马也是可以指定执行cmd的路径的

--------------

第八章 windows提权的敏感目录

这个章感觉很错的 可以去我给资料看看~~

--------

三)结尾

本章只是将别人写过的东西和放出来和大家分享一下,我个人感觉这些知识是比较重要而且有用的。希望能帮到大家。

如果是想学会提权的话,实战是不可少的。也可以自己搭建虚拟机来日穿嘛,我就常常日本人吗......

文章的资料大都来自法克,可能法克有时候水文章比较多,但是有的文章虽然比较基础,但是还是十分不错的~。

最后非常感谢那些分享资料的大牛,世界因为你们变得更美好~~

 

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码
评论列表
  1. 新新人

    可否能分享一份资料呢,谢谢979141812@qq.com

  2. 孤影

    可以补发下链接吗 1044738303@qq.com

  3. 一碗酒

    分享已经取消,站长可否分享一下呢?非常想看一下

  4. 下载地址失效了 方便发份么 admin@dekaufen.com

  5. 一碗酒

    分享已经取消,站长可否分享一下呢?非常想看一下

  6. 下载地址失效了 方便发份么 admin@dekaufen.com

添加新评论