NTFS格式分区下实现提升权限的一些方法和思路
作者:紫幻[EST照料团成员]
来源:《黑客X档案》
2003年10月写的,其时我发明了NTFS目次跳转的题目,写了此篇颁发在黑客X挡案上。其时我是第一个提出这个跳转提升权限的。如今献给8进制的朋友们,祝大家新年快乐。
NTFS格式分区下实现提升权限的一些要领和思路
至从微软发布win2k操纵体系以后就向全天下提倡用户采用NTFS格式分区。采用NTFS格式分区的利益是不问可知的,好比设置权限和各级权限审核。自己也不停在利用NTFS格式分区,在操纵体系上采用NTFS格式分区只需分派好权限设置会大幅度提升体系的宁静性。至于NTFS分区格式的很多利益我在这里就不在为大家细致先容了。NTFS分区似乎成为了一个神话,很多入侵者都不克不及够突破NTFS分区格式的权限审核而不克不及开展深入渗入渗出,我自己在以前的hacking当中也被NTFS这个“拦路虎”阻拦过屡次导致整个渗入渗出举措失败,最近我发明了一种思路可以在对方很BT的设置下成功提升权限,不敢独享以本文细致先容给大家。
想要深入探究就先要相识如今采用NTFS格式分区的主机权限设置的几种范例。
一 默认设置
先来看看默认权限设置下体系很目次user大概guest组对体系根目次的权限。请看图(1)
下面我们再来看看Program Files目次的默认权限分派,请看图(2)
凭据图(2)所示可以看出,在默认NTFS格式分区下Program Files目次对user组的权限只要:读取及运行,列出文件夹目次,读取(guest组也是一样)。我们可以做一个实行,我如今是已user登陆到计算机中,然后在Program Files目次试图创建一个文件夹,结果请看图(3)
看到了吧?回绝拜访,阐明没有写入权限。
下面我们连续来看winnt目次,我试验的主机为win2k主机。请看winnt目次的默认权限分派,照旧拿user组(guest组也是一样)做例子,请大家看图(4)
winnt目次和Program Files目次环境差未几,我就不在多说了,大家本身看就能明确了。
还有一个要害的目次就是“Documents and Settings ”目次,这个目次一般存放用户的启动信息,好比:珍藏夹,开始菜单,文档……
这个目次的文件夹一般都是“administrators”“All Users”……
默认NTFS格式分区下guest组和user组对办理员用户名下的文件夹无任何权限(好比administrator文件夹)对All Users和guest文件夹只要读取权限,而没有写权限。
说完体系分区下在说一说体系分区以外的权限,一般默认环境下GUEST组对体系以外分区的权限为完全控制。可以进行任何操纵。看好了我指的是默认哦。至于默认权限我就给大家废话这么多,下面我就给大家讲一下在权限默认分派的环境下怎样实现提升权限。根本有以下种思路和要领。
1 更换服务法:
这种措施如今被黑迷们广泛利用,措施就是:假定体系加载的服务有不在体系分区下的,就可以找到服务所对应的文件,然后在用后门,木马……更换失这个文件。等体系重新启动以后就会自动加载你更换失的这个文件,如许你就实现了提升权限。
阐发:默认的NTFS格式分区,对体系以外的分区guest和user组都有完全控制权限,所以才导致更换服务提升权限。
2 体系漏洞
对于利用体系漏洞导致的提升权限就没什么好说的了,好比:idq.dll+ispc.exe在好比debug提升权限和晚期的输入法漏洞。
3 利用Serv-U的ServUDaemon.ini文件提升权限
关于这个的文章我颁发在了12月的杂志的,细致内容看杂志。
阐发:想要利用此法提升权限必需要满足一个条件,必需要对ServUDaemon.ini文件有改写权限,在NTFS格式体系分区下user组和guest组是不克不及修改ServUDaemon.ini的,所以此法有肯定的限制。对于体系以外分区默认环境下是可以改写的,可以利用此法实现提升权限。
4 利用Serv-U的默认43958端话柄现提升权限
在默认安置完Serv-U以后serv-u默认监听127.0.0.1:43958端口,所以只要在本机才气连接这个办理端口。serv-u默认办理账号是LocalAdministrator,默认密码是#l@$ak#.lk;0@P.
在你取得平凡权限以后(好比:webshell user权限的shell)可以把这个127.0.0.1:43958这个端口映射到你本身的IP地点上。(注意题目:127.0.0.1这个IP地点是你当地的IP地点)然后在用默认办理账号是LocalAdministrator,密码#l@$ak#.lk;0@P登陆,然后利用Sev-U的远程办理功效实现提升权限。(细致要领请看我在本期杂志别的一篇文章《成功渗入渗出Windows Server 2003》)
阐发:在默认NTFS格式分区除体系盘以外guest组和user组成员都有可实行权限,如许我们就可以实行端口映射东西来映射127.0.0.1:43958端口,导致提升权限。
以上4种是如今最常用的提升权限,当然除此4种措施以外还有其他措施,好比:嗅探,利用其他第三方软件的设计缺陷,找到mssql帐户地点asp文件……以上我为大家讲的是默认环境下,但是一般利用默认NTFS权限的分派未几,很多注重宁静的办理员都不会利用默认权限分派,以下我就给大家讲一讲不是默认环境下提升权限的一点心得领会。
二 非默认设置
如果办理员特意去改这个默认权限分派的话就可以阐明这个办理员很注重宁静,应该会比默认环境下给平凡用户设置成更小的权限。最近我就遇到一个失常的主机。设置权限很失常,我攻破其体系以后才看清楚究竟是怎样分派的权限,请看图(5)
看到了吗?C盘只要administrators组,也就是说只要体系办理员才对体系盘有完全控制。其他用户一点权限都没有。在来看看D盘的设置环境,请大家看图(6)
办理员也把D盘设置成如许。剩下的E,F,G都设置成如许。先阐明一点是这个主机是一台虚拟主机,web都在G盘,其中一个虚拟目次的权限设置请看图(7)
只要web目次才给IIS帐户完全控制权。这些都是我后来才得知的。下面我就为大家讲一下我是如安在如许设置下成功实现权限提升的。
这台主机的IP地点为:61.151.xxx.xxx。开放端口为:
* + 61.151.xxx.xxx
|___ 21 File Transfer Protocol [Control]
|___ 220 Serv-U FTP Server v4.0 for WinSock ready.....
|___ 25 Simple Mail Transfer
|___ 220 ESMTP on WebEasyMail [3.5.2.3] ready.
|___ 80 World Wide Web HTTP
|___ HTTP/1.1 404 Object Not Found..Server: Microsoft-IIS/5.0..Date: Mon, 29 Dec 2003 22:53:46 GMT..Content-Type: text/html..Content
|___ 1433 Microsoft-SQL-Server
|___ 3306 Mysql server
|___ +....3.23.56-nt.....Lrw}2~F#.,.................
|___ 5631 pcANYWHEREdata
我经过SQL injection失掉了该主机上的一个webshell,既然是webshell就阐明我如今已经拿到了这个主机的guest组的权限。但是我利用webshell实行命令的时间发明什么命令都不可以实行,连最根本的dir和net user都不可以。请看图(8)
利用cmd.asp不可以实行任何命令。接下来我就换了一个类似海洋顶端网asp木马的webshell。可以实行一些操纵。但是发明只可以在以后目次下进行一些操纵。这个网站在服务器下的虚拟途径为:G:\home\sh.leocn.com ,除了此文件夹以外对任何目次都不可以欣赏,缘故原由请看图(7)。相信很多读者也遇到过如许的环境,按照上文默认NTFS设置提升权限的要领都行欠亨。由于你基础出不去这个目次。用aspshell欣赏C盘表现什么都没有(设置的够BT吧?),请大家看图(9)
我预计一般入侵者到这里根本就会保持。但是前文我给出的扫描结果大家注意到了吗?这个主机开放5631端口,阐明安置有pcAnywhere。一般大家都知道pcAnywhere安置以后会在:c:\Program Files\ Symantec pcAnywhere\目次下有*.cif文件,拿到此文件就可以破解出pcAnywhere的密码,然后连接控制整个主机。但是我们如今欣赏不到c:\Program Files\ Symantec pcAnywhere\目次。颠末我研究发明,不光c:\Program Files\ Symantec pcAnywhere\目次下有*.cif这个文件,在C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\这个目次下也会有这个文件。在这里拿到这个文件一样可以控制整个主机。到了这里有些读者就会问了,你如今连C盘都欣赏不到你怎么拿这个cif文件?
呵呵,其实一样可以拿到的。本篇文章最紧张的中央就在这里,请读者连续往下看。虽然欣赏C盘如今不可以,但是你注意视察asp木顿时的URL: http://www.xxx.com/music/a.asp?path=C:&ib=true要害的一句:path=C:&ib=true。我上文提到了C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\这个目次下也会有这个CIF文件。如今我们手动改变一下asp木马的URL:
http://www.xxx.com/music/a.asp?path=C:/Documents%20and%20Settings/All%20Users/Application%20Data/Symantec/pcAnywhere&oldpath=C:/Documents%20and%20Settings/All%20Users/Application%20Data/Symantec&ib=true
回车以后的结果看图(10)
哈哈,怎么样?不克不及欣赏到C盘没干系,我们可以间接跳转到这个目次,你不要以为不克不及欣赏到C盘就阐明C盘下什么目次都不可以欣赏。C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目次就是一个很好的例子。欣赏到以后间接下载PCA.gua18en.CIF这个文件。然后用流光破解一下可以拿到密码。请看图(11)
破解以后就可以阐明我已经失掉了这个主机的administrator权限。接下来输入破解到的用户名密码用pcAnywhere控制端连接。请看图(12)
到了这里有两种环境。
1 等办理员上来,然后你控制。(比较伤害)
2 你试验一下pcAnywhere破来的密码是否和主机办理员密码同等。如果同等还等什么?我这台就是一样的密码。我间接登陆到了主机上。看图(13)
我比较幸运哦,不过很多办理员的密码都是同等的。就算纷歧致你在登陆界面上已经可以随意重新启动主机了。渗入渗出到这里如果在连续下去就无任何意义了。最近雪莲蓬也遇到一台和我搞定这台一样设置的主机,也是用这个措施搞到的administrator权限。
以上提升权限历程的阐发:
这台主机被我成功提升权限主要是由于办理员太相信对NTFS格式对C盘的权限设置了,他以为user大概guest权限组对C盘不可以欣赏就会对C盘下全部目次都不可以欣赏。其实不是如许的,不相信我们看一下C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\这个目次的设置环境。请看图(14)
user用户可以对这个文件夹,读取,运行,列出文件和目次。
以上提到的这个要领和思路只是我无意中发明的。相信很多“牛“人看完以后又会说了:就这个啊?我N年以前就会”我最鄙视如许的人。
PcAnywhere密码文件在这个文件夹是很多人都知道。但是你欣赏不就任何目次的环境下你会想到间接跳转到C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\这个目次吗:)
其他我就不在多说了。
三 小结:
在NTFS默认权限下实现提升权限不是很难,要领除我先容的相信还有N多种。但是象文章第二段的非默认环境下提升权限我只会我写出来这一种措施,就是跳转目次。当然能跳转到的目次还有很多,好比/inetpub/,但是好象跳转到了也没有什么用途,幸亏如今安置pcAnywhere的主机特别多。一般都可以用我这个提到这个措施成功提升权限。
在这里我也盼望宽大读者在渗入渗出举措堕入僵局的时间要多动头脑,不要只想他人已经颁布的要领,要本身独立思索,如许才会发明更多的思路。在这里我也要提示宽大办理员要充分利用好NTFS的优越性,不要让他人有空子可钻。小题目也会导致紧张结果,我想刚才我提升权限那个主机的办理员做梦都不会想到服务器会这么被入侵:)
本篇就到这里
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
