Serv-U6.002下的艰难提权

[原创]Serv-U6.002下的艰难提权
文章标题:[原创]Serv-U6.002下的艰难提权顶部 小鱼修炼中 发布于:2005-10-2900:43 [楼主][原创]Serv-U6.002下的艰难提权
文章作者：小鱼修炼中[S.H.C]（https://www.360docs.net/doc/cc10934830.html,）
信息来源：邪恶八进制信息安全团队（https://www.360docs.net/doc/cc10934830.html,）

本文章已经在<黑客X档案>8月上发表后由原创作者友情提交到邪恶八进制信息安全团队技术论坛

放假没事在家上上网（人世间最爽快的事情莫过与此，哈哈....），无意间打开了一个网站后KV突然报道说“发现恶意代码以清除”，晕，
第一反应是传说中的网页木马，于是马上看看这个页面的源代码果然不出我所料，竟然敢在“鱼哥”面前挂马（图1）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图1.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
大家仔细看后面的
那个网页名字“icyfox.htm”用过木马的朋友肯定都知道，这是以前的那个冰狐浪子木马生成器生成的默认网页名，看来这个马很早就挂上
了，挂马的人连加密改名都没弄，可能是个菜鸟！
一.简单获得webshell
既然能被一个菜鸟挂马，说明网站安全性肯定不高，拿出旁注工具扫扫，好多Diy.asp文件
－－－－－－－－－－－－－－－－－－－－－－－－小鱼提示！－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
大家注意了，我在网上发现很多人故意在入侵的网站中放上名字如upfile.asp;Diy.asp；等敏感文件骗大家点击，其实里面是个空壳挂了
网页木马，很多菜鸟就是这样被人入侵的。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再扫扫后台看（图2）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图2.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
挨个试试，哈哈果然有漏洞，管理员登陆中输入“admin'or''='”密码也一样（图3）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图3.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
点登陆系统成功进入后台，
到处看了看这个后台系统还是比较强大的，有上传图片，还有数据库备份，聪明的你知道该怎么做了么？马上将加密过的海洋2006改为gif的
图片格式传上去，然后再到数据库备份中还原我们的宝马（图4图5）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图4.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图5.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.he

ight='800';">
登陆，hoho成功得到webshell（图6）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图6.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

二.郁闷的提权之路
进入服务器后，先看看“WScript.Shell程序运行器”,“FSO文件浏览操作器”等能不能工作正常（在一些BT的服务器这些都会提示出错），再来看看一些重点的
服务，看服务可以用海洋自带的“系统服务信息”还可以用命令“netstart”，我比较喜欢用“系统服务信息”看，因为那样能看到路径
和一些详细信息，仔细找啊找，发现服务器安装了serv-U（这个东西可是地球人都知道的，提权就数它最爽了，图7）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图7.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
继续向下看，主机还开了3389（图8）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图8.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
看来管理员是用3389来管理服务器的还能看出服务器是WIN2000，先不管了既然它有Serv-U那我们就直接用它提权，找找可写目录，试试名气最大的明星
级目录c:\winnt\system32\inetsrv\data\，hoho，可写，不愧是明星级的传个servU.exe上去，要是它不可写怎么办呢？这里我给出一些重点目录方便广大菜鸟提权时使用：
－－－－－－－－－－－－－－－－－－－－－－－－提权重点目录总结－－－－－－－－－－－－－－－－－－－－－－－－－－－
C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\ －－‘看这里能不能跳转，我们从这里可以获取好多有用的信息比如Serv-U的路径。
C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\－－‘看能否跳转到这个目录，如果行那就最好了，直接下它的CIF文件，破解得到pcAnywhere密码，然后登陆
c:\ProgramFiles\serv-u\ －－‘不用我多说了吧
C:\WINNT\system32\config\ －－‘下它的SAM，破解密码
c:\winnt\system32\inetsrv\data\ －－‘明星级目录，是erveryone完全控制，很多时候没作限制，把提升权限的工具上传上去，然后执行
c:\prel
C:\ProgramFiles\JavaWebStart\
c:\DocumentsandSettings\
C:\DocumentsandSettings\AllUsers\Documents\ －－－‘很多时候data目录不行，试试这个很多主机都是erveryone完全控制！
c:\ProgramFiles\ －－－‘一般都能访问，可以看看它都安装了什么软件
C:\ProgramFiles\MicrosoftSQLServer\
c:\Temp\
c:\mysql\(如果服务器支持PHP）
c:\PHP(如果服务器支持PHP）
c:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动 －－‘如果实在没办法，可以试下这个，在里面写入bat，vbs等木马。
C:\PROGRAMFILES\KV2004\ －－‘替换

它服务
D:\PROGRAMFILES\RISING\RAV\ －－－‘替换它服务
C:\ProgramFiles\Real\RealServer\ －－－‘替换它服务
最后就是－－－根目录下隐藏autorun.inf
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再来到海洋的WScriptShell，运行servU.exe来加个用户试试，好慢啊，等了N久之后既然显示（图9）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图9.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
"530Notloggedin"郁闷，密码不对
看来管理员改了默认的“#l@$ak#.lk;0@P”密码，这个简单我们只要下它的servudaemon.exe再用ServU本地密码查看器打开看看，找到修改的密码，再把servu
的本地溢出程序重新编译一下就OK了，马上去下载它的servudaemon.exe到本地，怀着激动的心情用servu本地密码查看器打开，结果555...让我更郁闷（图10）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图10.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
默认密码怎么还是#l@$ak#.lk;0@P，我特地复制到文本里跟溢出程序的默认密码对比了一下，一摸一样，那怎么可能不成功呢？难道中邪了？从INI文件中看看对方版本是6.002的！
又传了个chobits2.0.exe到对方data目录下运行看看，还是不行，到底怎么回事？我还没遇到过这么怪的事！......
三.冷静的思考
到嘴边的肉却吃不上，好难受！现在静下心来好好想想...到底怎么回事呢？...对了，会不会是serv-U6.002跟以前的版本不一样？对本地管理
密码的保存地方不一样？只想不试永远也不会成功，马上从网上down一个6.002版本和之前版本的serv－u在本地安装看看，安装完6.002后突然
发现这个版本比之前的多了一项功能（图11）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图11.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
管理员可以通过这个功能轻松修改本地默认密码，这一设计就大大限制了我们的本地提升权限！（serv-u厂商真是可恶啊！）
那么修改后的默认密码保存在哪呢？我在修改完后仔细看了每个文件发现在ServUDaemon.ini比以前版本的多了一句“LocalSetupPassword＝”（图12）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图12.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
看来6.002中默认密码是通过这个来保存的！（哈哈！这都被我找到了！^o^)再想想那什么时候才会用真正的默认密码呢？我把ServUDaemon.ini中LocalSetupPassword＝
后面清空，再用默认密码#l@$ak#.lk;0@P登陆看看，哈哈，成功了。看来servu6.002

中默认密码还是#l@$ak#.lk;0@P，只不过用户可以再ServU
控制界面方便修改，修改后保存在ServUDaemon.ini中！
四.一网打尽，夺取最高权限
马上再次登陆webshell到servu目录下打开ServUDaemon.ini，试试去掉LocalSetupPassword＝后面的加密密码，晕..没有权限。怎么办呢？
既然不能改，那我们还不能破了（图13）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图13.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
复制上面的加密密码到serv－u破解工具中试试运气(图14）
=800)window.open('https://www.360docs.net/doc/cc10934830.html,/tupian/图14.gif');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
哈哈，密码“11111111”真是简单啊！
现在来提权，我用的是一个可以修改溢出时密码的工具myservu.exe，格式myservu.exe端口号"命令"ok.txt,OK.txt中分别写上用户名和密码！
篇幅原因我就不多说了，其实servu实在不行的话可以试试别的方法！又什么不懂到论坛问我吧！88！(文章不足之处还请各位见笑了!)

为避免因引用图片无法显示造成的阅读障碍邪恶八进制为大家提供了一个PDF格式的图文收藏版现提供下载：
附件：Serv-U6_002下的艰难提权.rar(176K)下载次数:368顶部 小齐 发布于:2005-10-2905:26 [1楼]
时间花了很多.....
不过...无语.....-_-!
6.0.0.2好像23月的时候就有了吧?怎么现在才....
%systemroot%\temp你漏了..
标题很吸引人.
顶部 dingking 发布于:2005-10-2907:25 [2楼]
S-U提权的一般思路就这样的。
个人觉得写得还是比较清晰的.虽然很久以前就有了.顶部 wedxzaw 发布于:2005-10-2911:09 [3楼]
以后像这种实在没啥原创性的文章要精简一些，我建议精简到：
告诉读者Serv-U6.002修改的管理密码保存在ServUDaemon.ini中LocalSetupPassword＝下,如果清除其LocalSetupPassword＝中的密码，那么servu就会默认加载servudaemon.exe里的管理密码。其实有这些内容就足够了，又简洁明了。
另外看出作者对基础知识掌握的很不行，比如文中多次提到servu本地溢出，其实我告诉你，那根本不能叫溢出，可见你对漏洞原理等很多基础知识的理解是一片浆糊！顶部 唐不狐 发布于:2005-10-2918:30 [4楼]
邪恶是相对要求高点也严格一点的。呵呵，这样的文章放到华夏，黑鹰什么的也许更合适。顶部 天下第七 发布于:2005-10-2919:12 [5楼]
触类旁通.原创主要写的是自己的思路.不用写一堆东西的.顶部 zhouzhen 发布于:2005-10-2922:19 [6楼]

Quote:
下面是引用wedxzaw于2005-10-2911:09发表的:
以后像这种实在没啥原创性的文章要精简一些，我建议精简到：
告诉读者Serv-U6.002修改的管理密码保存在ServUDaemon.ini中LocalSetupPassword＝下,如果清除其LocalSetupP

assword＝中的密码，那么servu就会默认加载servudaemon.exe里的管理密码。其实有这些内容就足够了，又简洁明了。
另外看出作者对基础知识掌握的很不行，比如文中多次提到servu本地溢出，其实我告诉你，那根本不能叫溢出，可见你对漏洞原理等很多基础知识的理解是一片浆糊！

兄弟你试过了没有．．．．？？应该是整行都删除吧．顶部 sobiny 发布于:2005-10-2922:21 [7楼]
首先谢谢楼主公开自己的收藏
但是其实不用说这么详细的
简单到几句话就能说出来
既然在邪恶八进制里面来的话，那么就肯定还是有一定的基础的
点到就通，OK？
不过这是投稿文章啊
不多写点稿费怎么多啊，呵呵顶部 xiaoyou 发布于:2005-10-2923:23 [8楼]
系统盘下不可能给你那么要可写目录的，不过%SystemRoot%\temp是可写的顶部 wedxzaw 发布于:2005-10-3001:56 [9楼]

Quote:
下面是引用zhouzhen于2005-10-2922:19发表的:


兄弟你试过了没有．．．．？？应该是整行都删除吧．
我没试过，但我是根据楼主的文章所说的，楼主文章中说的是“LocalSetupPassword＝
后面清空”(c)Copyleft2003-2007,EvilOctalSecurityTeam.
ThisfileisdecompiledbyanunregisteredversionofChmDecompiler.
Regsiteredversiondoesnotshowthismessage.
YoucandownloadChmDecompilerat:https://www.360docs.net/doc/cc10934830.html,/