推荐:Serv-U6.002下的艰难提权 - 爱国者安全网新闻中心

通行证│用户名: 密码: 验证码: 验证码,看不清楚?请点击刷新验证码

电信 ┊ 网通 ┊ 铁通 ┊ 移动　

在线人

文章搜索：

热门搜索：红客黑鹰红客技术安全动画红客培训

推荐:Serv-U6.002下的艰难提权

责任编辑：古典辣M° 　更新日期：2005-10-30

本文章已经在<黑客X档案>8月上发表后由原创作者友情提交到邪恶八进制信息安全团队技术论坛

放假没事在家上上网（人世间最爽快的事情莫过与此，哈哈....），无意间打开了一个网站后KV突然报道说“发现恶意代码以清除”，晕，
第一反应是传说中的网页木马，于是马上看看这个页面的源代码果然不出我所料，竟然敢在“鱼哥”面前挂马（图1）

大家仔细看后面的
那个网页名字“icyfox.htm”用过木马的朋友肯定都知道，这是以前的那个冰狐浪子木马生成器生成的默认网页名，看来这个马很早就挂上
了，挂马的人连加密改名都没弄，可能是个菜鸟！
一.简单获得webshell
既然能被一个菜鸟挂马，说明网站安全性肯定不高，拿出旁注工具扫扫，好多Diy.asp文件
－－－－－－－－－－－－－－－－－－－－－－－－小鱼提示！－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
大家注意了，我在网上发现很多人故意在入侵的网站中放上名字如upfile.asp;Diy.asp；等敏感文件骗大家点击，其实里面是个空壳挂了
网页木马，很多菜鸟就是这样被人入侵的。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再扫扫后台看（图2）

挨个试试，哈哈果然有漏洞，管理员登陆中输入“admin'or''='”密码也一样（图3）

点登陆系统成功进入后台，
到处看了看这个后台系统还是比较强大的，有上传图片，还有数据库备份，聪明的你知道该怎么做了么？马上将加密过的海洋2006改为gif的
图片格式传上去，然后再到数据库备份中还原我们的宝马（图4图5）

登陆，hoho成功得到webshell（图6）

二.郁闷的提权之路
进入服务器后，先看看“WScript.Shell程序运行器”,“FSO文件浏览操作器”等能不能工作正常（在一些BT的服务器这些都会提示出错），再来看看一些重点的
服务，看服务可以用海洋自带的“系统服务信息”还可以用命令“net start”，我比较喜欢用“系统服务信息”看，因为那样能看到路径
和一些详细信息，仔细找啊找，发现服务器安装了serv-U（这个东西可是地球人都知道的，提权就数它最爽了，图7）

继续向下看，主机还开了3389（图8）

看来管理员是用3389来管理服务器的还能看出服务器是WIN2000，先不管了既然它有Serv-U那我们就直接用它提权，找找可写目录，试试名气最大的明星
级目录c:\winnt\system32\inetsrv\data\，hoho，可写，不愧是明星级的传个servU.exe上去，要是它不可写怎么办呢？这里我给出一些重点目录方便广大菜鸟提权时使用：
－－－－－－－－－－－－－－－－－－－－－－－－提权重点目录总结－－－－－－－－－－－－－－－－－－－－－－－－－－－
C:\Documents and Settings\All Users\「开始」菜单\程序\ －－‘看这里能不能跳转，我们从这里可以获取好多有用的信息比如Serv-U的路径。
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ －－‘看能否跳转到这个目录，如果行那就最好了，直接下它的CIF文件，破解得到pcAnywhere密码，然后登陆
c:\Program Files\serv-u\ －－‘不用我多说了吧
C:\WINNT\system32\config\ －－‘下它的SAM，破解密码
c:\winnt\system32\inetsrv\data\ －－‘明星级目录，是erveryone 完全控制，很多时候没作限制，把提升权限的工具上传上去，然后执行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\Documents\ －－－‘很多时候data目录不行，试试这个很多主机都是erveryone 完全控制！
c:\Program Files\ －－－‘一般都能访问，可以看看它都安装了什么软件
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(如果服务器支持PHP）
c:\PHP(如果服务器支持PHP）
c:\Documents and Settings\All Users\「开始」菜单\程序\启动－－‘如果实在没办法，可以试下这个，在里面写入bat，vbs等木马。
C:\PROGRAM FILES\KV2004\ －－‘替换它服务
D:\PROGRAM FILES\RISING\RAV\ －－－‘替换它服务
C:\Program Files\Real\RealServer\ －－－‘替换它服务
最后就是－－－根目录下隐藏autorun.inf
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再来到海洋的WScriptShell，运行servU.exe来加个用户试试，好慢啊，等了N久之后既然显示（图9）

"530 Not logged in"郁闷，密码不对
看来管理员改了默认的“#l@$ak#.lk;0@P”密码，这个简单我们只要下它的servudaemon.exe再用ServU本地密码查看器打开看看，找到修改的密码，再把servu
的本地溢出程序重新编译一下就OK了，马上去下载它的servudaemon.exe到本地，怀着激动的心情用servu本地密码查看器打开，结果555...让我更郁闷（图10）

默认密码怎么还是#l@$ak#.lk;0@P，我特地复制到文本里跟溢出程序的默认密码对比了一下，一摸一样，那怎么可能不成功呢？难道中邪了？从INI文件中看看对方版本是6.002的！
又传了个chobits2.0.exe到对方data目录下运行看看，还是不行，到底怎么回事？我还没遇到过这么怪的事！......
三.冷静的思考
到嘴边的肉却吃不上，好难受！现在静下心来好好想想...到底怎么回事呢？...对了，会不会是serv-U6.002跟以前的版本不一样？对本地管理
密码的保存地方不一样？只想不试永远也不会成功，马上从网上down一个6.002版本和之前版本的serv－u在本地安装看看，安装完6.002后突然
发现这个版本比之前的多了一项功能（图11）

管理员可以通过这个功能轻松修改本地默认密码，这一设计就大大限制了我们的本地提升权限！（serv-u厂商真是可恶啊！）
那么修改后的默认密码保存在哪呢？我在修改完后仔细看了每个文件发现在ServUDaemon.ini比以前版本的多了一句“LocalSetupPassword＝”（图12）

看来6.002中默认密码是通过这个来保存的！（哈哈！这都被我找到了！^o^)再想想那什么时候才会用真正的默认密码呢？我把ServUDaemon.ini中LocalSetupPassword＝
后面清空，再用默认密码#l@$ak#.lk;0@P登陆看看，哈哈，成功了。看来servu6.002中默认密码还是#l@$ak#.lk;0@P，只不过用户可以再ServU
控制界面方便修改，修改后保存在ServUDaemon.ini中！
四.一网打尽，夺取最高权限
马上再次登陆webshell到servu目录下打开ServUDaemon.ini，试试去掉LocalSetupPassword＝后面的加密密码，晕..没有权限。怎么办呢？
既然不能改，那我们还不能破了（图13）

复制上面的加密密码到serv－u破解工具中试试运气(图14）

哈哈，密码“11111111”真是简单啊！
现在来提权，我用的是一个可以修改溢出时密码的工具myservu.exe，格式myservu.exe 端口号 "命令" ok.txt,OK.txt中分别写上用户名和密码！
篇幅原因我就不多说了，其实servu实在不行的话可以试试别的方法！又什么不懂到论坛问我吧！88！(文章不足之处还请各位见笑了!)

上一篇文章：入侵一个超级BT的服务器

下一篇文章：推荐:SQL注射原理超浓缩简单篇