前幾天滲透了某大型網站興奮中拿到WebShell後第一個念頭就是提升權限把偶親愛的後門掛到系統裡熟練的打開CMD輸入NET USER
不是好兆頭接著在WSCRIPT組件前打鉤再次執行NET USER
提示倒是換了但是結果一樣接著偶想到了上傳CMDEXE但是Windows 的上傳在默認時是有限制的不能大於K於是我上傳了經典的ServU本地溢出程序使用在Windows 下沒有禁用WSCRIPT時的無敵調用提權大法
其實就是在調用CMD的地方寫上本地溢出程序的路徑及參數一般在沒有禁止WSCRIPT組件時此法的成功率很高但是結果依然是禁止訪問看來Windows 在默認情況下安全性比Windows 默認時要強許多失望之余想到干脆去首頁掛個馬吧最近正在玩PcShare嘿嘿跑到首頁加入偶的木馬代碼點保存沒有權限偶倒!太BT了吧?連修改首頁的權限都沒?管理員一定是把IIS用戶降低到了GUEST組或者給IIS目錄單獨設置了一個GUEST組的用戶並去掉了修改文件的權限上帝太不公平了怎麼說都是偶辛辛苦苦搞來的Shell啊現在一點用都沒有!
沒辦法看看服務器裡有啥好東西吧翻來翻去忽然眼前一亮在某個目錄裡發現了congifaspx文件寫到這裡各位以為偶是要使用SA賬號通過SQLROOTKIT執行系統命令吧?錯偶看過了賬號不是SA權限的是PU權限什麼都不能做而且也不屬於本文的介紹范圍偶注意的ASPX這個後綴在默認安裝情況下IIS 是支持net的也就是ASPX文件但是在IIS 裡ASP和ASPX兩個擴展使用的卻是個不同的用戶角色ASP使用的是IUSER用戶管理員一般都比較注意這個賬號害怕被提升權限所以把權限都降低到了GUEST所以在ASP的WebShell裡什麼也不能做了但是網管往往忽略了ASPX!由於net使用的系統賬號是ASPNET而在默認情況下這個賬號是屬於USER組的這樣我們上傳一個NET的後門上去會以USER組的用戶ASPNET執行命令權限會有很大的提高就可以提權了!
說做就做立即上傳了一個ASPX的後門上去打開CMD模塊執行NET USER
哇哈哈果然不出偶所料終於可以執行CMD了!來看看權限輸入net localgroup guests
看到了吧?剛才我們在AspWebShell中使用的賬號是IUSER_WEBSITE屬於GUESTS組難怪什麼權限都沒有呢再來看一下USERS組
ASPNET就是現在我們的AspxShell使用的賬號權限是USERS比Guest大好多嘿嘿!
其實這並不算是什麼漏洞只是由於管理員粗心大意造成的隱患而已算是提升權限的一個思路吧如果管理員把ASPNET也降低權限或者刪除ASPX這個擴展本文的方法就不管用了不過這樣的管理員到目前我還沒遇到過總之整體安全才是最重要的不要放過每一個細節
From:http://tw.wingwit.com/Article/os/xtgl/201311/8990.html
