最新消息:

对几大虚拟主机提权的总结

别人经典渗透过程学习 admin 1544浏览 0评论

我等小黑总是有时候在用尽千辛万苦拿下网站webshell的时候发现,原来这台是一台虚拟主机(常见在一台服务器上存在多个域名就叫做虚拟主 机),比如常见的星外,n点等,虚拟主机提权一般是比较蛋疼的,但是并不是提不下来,虽然我们木有0day,但是收集信息终究可能找到突破口。然后有些人 就会问这些主机怎么来进行提权呢?那么我就来说说我所总结的一些方法吧,由于好久没有接触了,所以没办法找到合适的主机来进行截图讲解,本地搭建的话,又 有点麻烦(本屌丝此学期课程繁多,所以没办法做的很详细,见谅)。下面我就说一下常见的几个虚拟主机的提权方法。

0x00 星外

  识别:

  首先要说的就是这个星外主机了,因为权限很死呐,呵呵,先说下如何识别星外主机

   一般可以通过以下几个来识别:

  1.目录 一般网站目录中存在 freehost的基本都是星外,比如 d:\freehost\xxxx\web\ 当然还有   D:\vhostroot\LocalUser\gdrt\   f:\host\xxx\web\  这些属于星外分支

  2.phpinfo(),  我们先建一个php文件,内容为  <?php phpinfo();?> 保存以后上传webshell,打开有如下说明

003nFNOqgy6EahVnhIo3camp69.jpg

也就是这个www.7i24.com的就说明他是星外主机

  3.安装目录识别,常见目录:

  C:\Program Files\
  C:\Documents and Settings\All Users\「开始」菜单\程序

  这两个目录会有明显的安装信息,如下图:

003nFNOqgy6Eai478mYf8amp69.jpg

一般存在这个 7i24的就是星外主机了。

常规提权

1.在最新版的是什么情况,但是本人所遇见的所有可执行命令的星外主机基本上都是被秒杀的,如何秒杀呢?
有两种方式,第一,用星外0day,ee.exe,第二,用iis.vbs脚本(具体脚本跟文件可以从网上下载,或者给本人留言~),原因是星外主机在创 建的时候回自建一个用户名为freehostrunat的属于管理组的用户,并且创建的时候密码随机生成,很长一大串,类似 991b95d33a17713068403079d4fe40a4!7 这可是明文!不是加密过的!拿到这个账号密码,就可以登录了,不过要开放终端端口哦。没有的话,可以用ipc$空连接等办法开启端口在连接。

2.执行命令,用现有的提权exp来提权(不过很少有成功的,也说不准~)

3.说到执行命令,可能大家就纳闷了,平常自己看到的星外都不能执行命令啊!这个时候呢,就需要我们自己找可读可写可执行的目录,来上传自己的cmd来执行命令了,下面是我总结的一些星外的提权目录:

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\有的杀毒 防火墙目录有权限
C:\7i24.com\iissafe\log\     不过新版本的貌似放到C:\windows\下了,并且我也没看到有iissafe文件夹了
C:\RECYCLER  C:\windows\temp\
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
e:\recycler\
f:\recycler\
C:\Program Files\Symantec AntiVirus\SAVRT\
C:\WINDOWS\7i24.com\FreeHost
C:\php\dev
C,D,E… 以下不一定有权限
C:\System Volume Information
C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
C:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

用于文件替换:

c:\Program Files\360\360Safe\AntiSection\mutex.db   360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db  360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db   360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  静态设置软件ISAPI Rewrite配置文件
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件

一下是两个最实用的替换文件:

c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
DU Meter的流量统计信息日志文件

这些,只需要我们把要上传的文件重命名成比如最后一个 log.csv,然后覆盖掉原来的文件就好了~,然后试试用这个文件执行命令,当然不是肯定可以哦,别的目录的话大家可以找一下啊d的扫目录脚本来扫一下,具体脚本可以网上下载或者跟我联系~

还不能执行命令怎么办~

新颖方法

现在说一下,假如还没办法执行命令怎么办?这时候,我告诉你,还有一个办法。 远程调用~

所谓远程调用就是调用远程计算机的cmd等工具来执行名,这里要求开启445端口,还有一点最好在一个c段,以为以前的ms08067的巨危漏洞,现在基本上445都给封了,所以最好又一台c段主机权限来做远程调用,具体怎么做,大家可以搜搜看,我就不多说了

人品方法(搜集信息)

这里的人品方法就是常见的 mssql,mysql,navicat等,怎么找密码呢?可以看注册表

键值: HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

这里可能能看到sa 密码,没准可以成功~

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002
星外存贮ftp密码的位置。同样是用来收集信息。

 HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers

navicat管理的MySQL服务器信息(一般是root帐户)

剩下就是你人品超神的时候,搜集的一些星外的账号密码:

fa41328538d7be36e83ae91a78a1b16f!7    默认密码
991b95d33a17713068403079d4fe40a4!7
83e0843d0091c43c4837bea224ebf197!7
7b41043919eec81c59f9eb95ac3bc456!7
4d91105ff31261b8a75a06c30002b09d!7
41328538d7be36e83ae91a78a1b16f!7
a0539224259d2494cde874f88fe86bff!7
5720969b84e8749764b39fa567331d80!7
a87997782e814aebb69b2cded123d642!7
你可以试试看 ~

先说这么多,有的以后再补充

0x01 N点主机

识别:

在下面两个目录中常有npointsoft这样的目录。
C:\Program Files\
C:\Documents and Settings\All Users\「开始」菜单\程序

在用户组信息里面有这样一栏:

003nFNOqzy6Eakylvwhc5amp69.jpg

N点主机提权常规思路:

在C:/Program Files/ 目录中找数据库文件,默认数据库路径为

host_date/#host # date#.mdb

这样我们就可以找到root的密码了,不过是加密的,对于N点主机的密码的破解,要用到他自己自定义的函数,这时候可以自定义一个脚本来解密,脚本内容如下:

<!–#include file=”../inc/conn.asp” –>
<!–#include file=”../inc/char.asp” –>
<!–#include file=”../inc/function.asp” –>
<%
set iishost=server.createobject(“npoint.host”)
pass=iishost.Eduserpassword(“密文字符串”,0)
response.write pass

%>

把密文填入脚本中,上传服务器,然后访问此脚本即可得到解密的root密码,另外,里面还有sa的密码,都是以这种形式来加密的,所以也可以如此解密

一些资料

资料一、
一般n点虚拟主机是可以aspx的iisspy,可以直接找到n点虚拟主机管理系统的网站根目录。同样也可以查看系统信息,用户信息等

资料二、
一般n点虚拟主机会备份mysql目录,一般在D盘根目录,一般是有可读权限的,可以访问下载user文件进行破解root密码。

资料三、通常情况下,有n点主机就有phpmyadmin,可以通过phpmyadmin的相关漏洞进行渗透提权获取root密码等。

0x03  华众虚拟主机 

识别:

目录中含有  hzhost wwwroot 类似目录的可能就是华众虚拟主机,是可能哦~

提权思路:

后面都不说用常规exp,都是讲讲别的方法,主要就是搜集信息

敏感目录及注册表
就经验来说,一般是的溢出提权对虚拟主机是无果的,而且华众又没有星外那么明显的漏洞。
所以华众提权关键之处就是搜集信息!!!
主要注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass     root密码
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss       sa密码
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 

主要敏感目录:
c:\windows\temp下有hzhost主机留下的ftp登陆记录。有用户名和密码
D:\hzhost\hzhost_master\    虚拟主机管理网站,数据库同样存在sa和root密码

0x04西部数码

如何识别西部数码
安装目录d:\SOFT_PHP_PACKAGE\
C:\Documents and Settings\All Users\「开始」菜单\程序
存放敏感信息位置
虚拟主机默认软件安装路径:d:\SOFT_PHP_PACKAGE\
在该目录下:
setup.ini                          配置文件中记录着mysql root 密码
site.xml                           记录着网站配置信息(3.0以前)
3.0版本现在集成到了access数据库中 也是存放在 默认安装路径下的iistool.dat 文件中 用户权限也是 users组可读这样我们就可以利用webshell获取到各种信息了哈哈(这个其实是一个access数据库文件 他的连接密码为:www@west263@cn
一些经验

经验一、
西部数码虚拟主机安装后默认s-u的LocalAdministrator用户密码为root3306
mysql 的root密码在安装过程中会提示是否修改 默认也是为root3306 或者 123456

经验二、
该虚拟主机一般是未删除Wscript.Shell组建的,所以可以在asp马下进行执行命令,可读可写请参考星外主机提权这节。

0x05新网主机

新网虚拟主机识别一般是通过网站目录识别:
D:virtualhost\xxx\www
目前新网虚拟主机多出现在windows2008+iis7上,win2003上现在越来越少,win2003的情况,一般通过找root和sa密码提权,配置不严格时用溢出都可以提权。

估计后面的主流就是新网+win2008+iis7
这里就要介绍appcmd

appcmd list site

列出站点及其id号

第二个命令:
appcmd list config
列出所有网站配置信息,如果是在iis7上配置的ftp,则还会列出网站ftp用户及密码

第三条命令:
appcmd list vdir
该条命令可以列出id号和所有站点的目录

通过上述命令可以跨到其他网站目录搜集信息~~~
关于跨目录的介绍:详谈如何找到目标站目录

0x06 ZKEYS虚拟主机

敏感目录及信息

注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\ZKEYS
一般都在硬盘的根目录

敏感目录:
打开*\ZKEYS\Setup.ini
1.[Mysql] (MYSQL设置) 
2.root=aaa (管理员帐号) 
3.RootPass=123 (管理员密码) 
4.[Mssql] (MSSQL设置) 
5.DbPath=d:\MSSQL\Data (MSQL数据库存放路径) 
6.SA=aaa (管理眼帐号) 
7.SaPass=123 (管理员密码) 
Guid=www.chouwazi.com |XXXXXX 主机系统的 IP 授权 和 密码,下面就是看出比较鸡肋了。
要记住mysql是在mysql_zkeys MySqlUserBySH安全账户下运行的mysql_zkeys是属于guest组权限的,MySqlUserBySH属于users组,而 mssql 就更悲剧了 安全配置很牛叉。
不过值得庆贺的一点,国内的网管都喜欢通用密码,一般拿到 root 密码 社到管理的账号
phpmyadmin 在 127.0.0.1:999 端口,必要的时候可以尝试。

其他:
找找有木有winwebmail ,这个东西有的 zkeys 装了,有的没装,如果找到这东西直接去他目录写个 shell,权限就比之前大了,exp 也能提了。
默认目录 d:\winwebmail\web\
只要有这东西就好办,可以写 lpk,或者替换里面的 exe 啥的都行。

0x07总结

不多说了,本人先说这么多,大家多多总结吧~

转自:http://blog.sina.com.cn/s/blog_b8ab0ac20101s9zj.html

转载请注明:jinglingshu的博客 » 对几大虚拟主机提权的总结


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址