秒提Hzhost主机和提权思路的总结 - 中国木马资源网

作者:admin2016-9-17 19:57分类: 黑客技术,黑客渗透网站文章 标签: 华众主机提权 SSPort端口扫描器

前言:首先不得不可耻的承认我是一个可恶的标题党,哈哈!  

本篇文章没有什么高深的技术,只是利用了几个简单的小工具而已,写这篇文章主要是为了给大家提供一些新思路,Hzhost已经是主流的虚拟空间程序了,有时候遇见目标站找不到漏洞时候不妨看看是否服务器存在Hzhost 可以省事很多

1.首先:百度  或者 Google 搜索关键字   inurl:/pdtshw/hstshw/index.asp

找到华众主机的站点

这里我随意找了个示范站点:www.xxooidc.net

idc网站.png

华众的主机,可以试用大家都懂得,首先注册用户。随便找个空间 最好找支持aspx 脚本解析的空间!

2.信息收集 信息收集是我们下一步进行提权的必备关键环节之一,这一步很多人不大注意其实个人觉得这一步是非常重要的一个关键环节,这里我给大家讲下本人提权前需要收集的资料

(1).主要需要收集的是服务器是否开了3389端口或者是否修改端口
查询方法:有权限的话 通过shell执行 netstat –an 命令  或者使用金狐大牛的Ssport扫描

附高清无码图哈哈:
ssport.png

scanning.png

SSPort高速端口扫描器1.1

SSPort高速端口扫描器1.1

(2).查找服务器支持的脚本 aspx php 脚本权限通常比asp脚本大  如aspx脚本可以读取注册表信息这有时候是非常关键的

查询方法:asp网马通常会有此类功能 或者自己上传相应脚本的网马文件测试

(3).查找服务器的利用软件 如ZEND有个DLL可以利用  mysql mssql等是否支持
查询方法:查找软件常用目录如C:\Program Files  D:\Program Files  C:/vps  7i24  phpzkeys 等等

说到这里分享几个本人的小经验 有时候丰富的小经验是一次成功入侵的关键

如西部数码的主机用户通常使用的都是西部数码的环境自动安装   这里他如mysql  serv-u的默认密码均为 root3306  
如phpzkeys 的mysql默认密码为 phpzkeys
如Hzhost默认的mssql环境自动安装密码为hzhostpass  -@@入侵hzhost主机的时候可以试试这个sql密码能不能执行 ,想想看当你幸幸苦苦翻遍整个目录最后找到的SA的密码是他以后你会有何感想  一定灰常郁闷吧

当然 说到第三方软件提权不得不提的就是大名鼎鼎的server-u  SU实在是漏洞多多
我们可以试试使用SU默认的密码 #l@$ak#.lk;0@P 进行提权尝试。

su提权.png

su添加用户.png

或者尝试管理员添加:

serv-u提权.png

有时候会有意想不到的收获喔!

或者添加FTP之后 FTP碰见权限大的话是通过ftp.exe quote指令本地溢出漏洞执行FTP命令添加系统用户的

具体方法为 开始-运行-cmd   键入ftp
cmdftp.jpg

键入open xxoo.com命令登录之!

cmdftp2.jpg

cmdftp3.jpg

这时就可以输入需要执行的命令 格式为quote site exec "需要执行的命令”
如添加管理员为:quote site exec net user XXXX XXXX /add
其他命令照此格式就行

(4).找可写可执行目录   当无可利用的软件的时候 我们可以通过可执行目录传上我们亲爱的木马文件执行之  或者其他的各大杀器 如星外虚拟主机可以通过脚本列出administrator权限的登录账户等。。。。。

众所周知要成功提权星外主机就要找到可写可执行目录,可近来星外主机的目录设置越来越BT,几乎没有可写可执行目录。另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换,将这些文件替换为我们的cmd.exe和cscript.exe来提权,经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行。
 
首先是我们可爱的360杀毒。
 
c:\Program Files\360\360Safe\AntiSection\mutex.db   360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db  360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db   360杀毒数据库文件
 
c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。
 
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  静态设置软件ISAPI Rewrite配置文件
 
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
 
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
 
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
 
c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件
 
诺顿杀毒可能局限于版本,我本机XP并未找到以上文件
 
以下是最后2个可替换文件
c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证
 
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
 
DU Meter的流量统计信息日志文件:
 
暂时知道以上文件权限为Everyone,注意,即使可替换文件的所在目录你无权访问,也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db,可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限,用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问,可mutex.db文件在该目录下,你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。
 
这样一来在没有找到可写可执行目录时候,不防查看服务器上是否安装了以上软件,有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

方法:如上所示目录  A&D各凭经验吧

(5).查找服务器打的补丁  这个其实是效率最高的提权方法了  我们直接通过查找系统的补丁情况配合各大杀器提权

方法:systeminfo 命令   

好多朋友见到Windows服务器就祭出pr、巴西烤肉一气搞,忙完免杀又忙找可写目录,最后发现服务器打上了对应的补丁。本屌在提权前都会执行systeminfo命令,查看对应补丁有没打上。 如:
PR对应补丁号: KB952004
巴西烤肉对应补丁号: KB956572

cmd提权.jpg

找到没有补上的漏洞 上杀器一次搞定  哈哈 (ps:此步需要配合上面的可写目录使用)

(6).注册表信息  
注册表信息的收集主要针对一些专门的软件 如Hzhost 星外navicat 等软件

如此篇文章示范的Hzhost主机中 
HKEY_LOCAL_MACHINE\software\hzhost\config\settings 的注册表位置中存放着SA帐号密码等大量信息
navicat管理的MySQL服务器信息(一般是root帐户)是存在注册表里的,具体是HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers下,导出注册表导入到本机然后星号察看就OK了。。

(7).日志服务
一些服务器信息会保存在日志文件中  
如:
Mssql服务有时会保存administrator密码到日志下
navicat会把操作日志(比如加账户)保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt,低版本是安装目录下的logs下LogHistory.txt

(8).后门程序的利用
如shift后门 等   如ftp有权限或者aspx有windos目录的可写权限的话可以替换自己的shift后门 进行提权

------本人的一些经验说一段落了,以后我可能会详细的各个利用点写一系列详细的教程
好了言归正传,我们回到这次的网站上!

注册开通好了试用空间  我通过查看脚本支持,主机支持aspx脚本  
二话不说上BIN牛的大马   查找Hzhost注册表(前文有提到,不记得了的可以倒回去看)

神器来了:

hzhost.png

SA权限有了  剩下来的还需要我说么??

PS一下  hzhost主机中 如果权限设置过于BT  主站目录inc目录下coon字符串中有hzhost mssql密码的明文
可以用来读取到后台master 的密码    主站权限尽在手中   你懂得

登录服务器,通知管理员。

hzhost提权服务器.jpg

此文章仅供各位基友学习讨论之用,任何人使用此篇文章内的技术做任何非法用途与本人无关!

来源:asp木马 转载注明出处!

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!

已有 0/1238 人参与

发表评论:




欢迎使用手机扫描访问本站,还可以关注微信哦~