Guest許可權突破——許可權提升方法總結(轉)

Guest許可權突破——許可權提升方法總結(轉)[@more@]

　　現在的入侵是越來越難了，人們的安全意識都普遍提高了不少，連個人使用者都懂得防火牆，防毒軟體要裝備在手，對於微軟的補丁升級也不再是不加問津。因此現在我們想在因特網上掃描弱口令的主機已經幾乎是痴心妄想了。（這可是一件大大的好事啊。）

　　但是這也使得我們作駭客的進行入侵檢測達到了一個前所未有的難度。透過各種手段，我們通常並不能直接獲得一個系統的管理員許可權。比如我們透過某些對IIS的攻擊，只能獲得IUSR-MACHINENAME的許可權（如上傳asp木馬，以及某些溢位等）。這個帳號通常可是系統預設的guest許可權，於是，如何拿到系統管理員或者是system許可權，便顯得日益重要了。

　　於是，我就總結了一下大家所經常使用的幾種提升許可權的方法，以下內容是我整理的，沒有什麼新的方法，寫給和我一樣的菜鳥看的。高手們就可以略去了，當然，你要複習我不反對，順便幫我查查有什麼補充與修改：

　　1、社會工程學

　　對於社會工程學，我想大家一定不會陌生吧？（如果你還不太明白這個名詞的話，建議你去找一些相關資料查檢視。）我們通常是透過各種辦法獲得目標的敏感資訊，然後加以分析，從而可以推斷出對方admin的密碼。舉一個例子：假如我們是透過對伺服器進行資料庫猜解從而得到admin在網站上的密碼，然後藉此上傳了一個海洋頂端木馬，你會怎麼做？先翻箱倒櫃察看asp檔案的程式碼以希望察看到連線SQL的帳號密碼？錯錯錯，我們應該先鍵入一個netstat ?an命令察看他開的埠（當然用net start命令察看服務也行）。一旦發現他開了3389，猶豫什麼？馬上拿出你的終端聯結器，添上對方IP，鍵入你在他網站上所獲得的使用者名稱及密碼……幾秒之後，呵呵，進去了吧？這是因為根據社會工程學的原理，通常人們為了記憶方便，將自己在多處的使用者名稱與密碼都是用同樣的。於是，我們獲得了他在網站上的管理員密碼，也就等同於獲得了他所有的密碼。其中就包括系統admin密碼。於是我們就可以藉此登入他的3389拉！

　　即使他並沒有開啟3389服務，我們也可以憑藉這個密碼到他的FTP伺服器上試試，如果他的FTP伺服器是serv-u 5.004 以下版本，而帳號又具有寫許可權，那麼我們就可以進行溢位攻擊了！這可是可以直接拿到system許可權的哦！（利用serv-u還有兩個提升許可權的方法，

　　我待會兒會說的）

　　實在不行，我們也可以拿它的帳號去各大網站試試！或許就能進入他所申請的郵箱拿到不少有用的資訊！可以用來配合我們以後的行動。

　　還有一種思路，我們知道，一個網站的網管通常會將自己的主頁設為IE開啟後的預設主頁，以便於管理。我們就可以利用這一點，將他自己的主頁植上網頁木馬……然後等他開啟IE……呵呵，他怎麼也不會想到自己的主頁會給自己種上木馬吧？

　　其實利用社會工程學有很多種方法，想作為一個合格駭客，這可是必學的哦！多動動你自己的腦子，你才會成功！

　　2、本地溢位

　　微軟實在是太可愛了，這句話也不知是哪位仁兄說的，真是不假，時不時地就會給我們送來一些溢位漏洞，相信透過最近的MS-0011大家一定又賺了一把肉雞吧？其實我們在拿到了Guest許可權的shell後同樣可以用溢位提升許可權。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上傳執行後就可以得到Admin許可權。但一定是對方沒有打過補丁的情況下才行，不過最近微軟的漏洞一個接一個，本地提升許可權的exploit也會出來的，所以大家要多多關心漏洞資訊，或許下一個exploit就是你寫出來的哦！

　　3、利用scripts目錄的可執行許可權

　　這也是我們以前得到webshell後經常使用的一招，原理是Scripts目錄是IIS下的可執行目錄，許可權就是我們夢寐以求的SYSTEM許可權。常見的使用方法就是在U漏洞時代我們先上傳idq.dll到IIS主目錄下的Scripts目錄，然後用ispc.exe進行連線，就可以拿到system許可權，不過這個是在Microsoft出了SP3之後就行不通了，其實我們仍可以利用此目錄，只要我們上傳別的木馬到此目錄，我舉個例子就比如是winshell好了。然後我們在IE中輸入：

　　木馬檔名.exe

　　等一會，看到下面進度條顯示“完成”時，可以了，連線你設定的埠吧！我這裡是預設的5277，連線好後就是SYSTEM許可權了！這時你要幹什麼我就管不著了……嘿嘿

　　4、替換系統服務

　　這可是廣大黑友樂此不疲的一招。因為windows允許對正在執行中的程式進行改動，所以我們就可以替換他的服務以使得系統在重啟後自動執行我們的後門或是木馬！首先，透過你獲得的guest許可權的shell輸入：net start命令，察看他所執行的服務。此時如果你對windows的系統服務熟悉的話，可以很快看出哪些服務我們可以利用。

　　C:WINNTSystem32>net start

　　已經啟動以下 Windows 服務:

　　COM+ Event System

　　Cryptographic Services

　　DHCP Client

　　Distributed Link Tracking Client

　　DNS Client

　　Event Log

　　Help and Support

　　IPSEC Services

　　Logical Disk Manager

　　Logical Disk Manager Administrative Servic

　　Network Connections

　　Network Location Awareness (NLA)

　　Protected Storage

　　Remote Procedure Call (RPC)

　　Rising Process Communication Center

　　Rising Realtime Monitor Service

　　Secondary Logon

　　Security Accounts Manager

　　Shell Hardware Detection

　　System Event Notification

　　System Restore Service

　　Telephony

　　Themes

　　Upload Manager

　　WebClient

　　Windows Audio

　　Windows Image Acquisition (WIA)

　　Windows Management Instrumentation

　　Windows Time

　　Wireless Zero Configuration

　　Workstation

　　命令成功完成。

　　我先在我的機器上執行一下命令做個示範（大家別黑我呀），注意我用紅色標註的部分，那是我安裝的瑞星。Rising Process Communication Center服務所呼叫的是CCenter.exe，而Rising Realtime Monitor Service服務呼叫的是RavMonD.exe。這些都是第三方服務，可以利用。（強烈推薦替換第三方服務，而不要亂動系統服務，否則會造成系統不穩定）於是我們搜尋這兩個檔案，發現他們在D: risingrav資料夾中，此時注意一點：如果此檔案是在系統盤的Program Files目錄中時，我們要知道，如果對方是使用的NTFS格式的硬碟，那麼系統盤下的這個資料夾guest許可權是預設不可寫的，還有Windows目錄、Documents and Settings目錄這些都是不可寫的，所以我們就不能替換檔案，只能令謀途徑了。（這也是為什麼我不建議替換系統服務的原因之一，因為系統服務檔案都在WindowsSystem32目錄中，不可寫）但如果是FAT32格式就不用擔心，由於它的先天不足，所有資料夾都是可寫的。

　　於是就有人會問：如果是NTFS格式難道我們就沒轍了嗎？

　　當然不是，NTFS格式預設情況下除了對那三個資料夾有限制外，其餘的資料夾、分割槽都是everyone完全控制。（也就是說我即使是IPC$的匿名連線，都會對這些地方有可寫可執行許可權！）所以一旦對方的第三方服務不是安裝在那三個資料夾中，我們就可以替換了！我就拿CCenter下手，先將它下載到本地機器上（FTP、放到IIS主目錄中再下載等等……）然後拿出你的檔案捆綁機，找到一個你最拿手的後門……呵呵，捆綁好後，上傳，先將對方的CCenter.exe檔案改個名CCENTBAK.exe，然後替換成自己的CCenter。現在只需要等對方的機器重啟，我們的後門就可以執行了！由於Windows系統的不穩定，主機在一個禮拜後就會重啟，（當然如果你等不及的話，可以對此伺服器進行DDOS攻擊迫使他重啟，但我並不贊同！）此時登上你的後門，就是System許可權了！

　　5、替換admin常用程式

　　如果對方沒有你所能利用的服務，也可以替換對方管理員常用的程式，例如QQ，MSN等等，具體替換方法與替換服務一樣，只是你的後門什麼時候可以啟動就得看你的運氣了。

　　6、利用autorun .inf或desktop.ini

　　我們常會碰到這種事：光碟放進光碟機，就會自動跳出來一段FLASH，這是為什麼？呵呵，你到光碟的根目錄中看看，是否有一個autorun.inf的檔案？用記事本開啟來看看，是不是有這麼一句話：autorun=xxx.exe 這就是你剛才所看到的自動執行的程式了。

　　於是我們就可以利用這個來提升我們的許可權。先配置好一個後門，（我常用的是winshell，當然你不用這個也行）上傳到他D盤下的任意一個資料夾中，然後從你那個自執行的光碟中把autorun.inf檔案也上傳，不過上傳前先將autorun=xxx.exe 後面的xxx.exe改為你配置的後門檔案途徑、檔名，然後再上傳到d盤根目錄下，加上只讀、系統、隱藏屬性。OK就等對方admin瀏覽D盤，我們的後門就可以啟動了！（當然，這必須是在他沒有禁止自動執行的情況下才行。）

　　另外有相同作用的是desktop.ini。大家都知道windows支援自定義檔案，其實它就是透過在資料夾中寫入特定檔案――desktop.ini與Folder.htt來實現的，我們就可以利用修改這檔案來達到我們的目的。

　　首先，我們現在本地建立一個資料夾，名字不重要，進入它，在空白處點右鍵，選擇“自定義資料夾”（xp好像是不行的）一直下點，預設即可。完成後，你就會看到在此目錄下多了兩個名為Folder setting的檔案架與desktop.ini的檔案，（如果你看不到，先取消“隱藏受保護的作業系統檔案”）然後我們在Folder setting目錄下找到Folder.htt檔案，記事本開啟，在任意地方加入以下程式碼：