惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
Stack Overflow Blog
Stack Overflow Blog
Hugging Face - Blog
Hugging Face - Blog
博客园_首页
T
The Blog of Author Tim Ferriss
博客园 - 叶小钗
N
Netflix TechBlog - Medium
腾讯CDC
C
Check Point Blog
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
GbyAI
GbyAI
S
SegmentFault 最新的问题
F
Fortinet All Blogs
美团技术团队
U
Unit 42
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
博客园 - 司徒正美
F
Full Disclosure
Recorded Future
Recorded Future
D
DataBreaches.Net
博客园 - 【当耐特】
Martin Fowler
Martin Fowler
J
Java Code Geeks
I
InfoQ
Y
Y Combinator Blog
A
About on SuperTechFans
AI
AI
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Forbes - Security
Forbes - Security
W
WeLiveSecurity
M
MIT News - Artificial intelligence
雷峰网
雷峰网
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Simon Willison's Weblog
Simon Willison's Weblog
Schneier on Security
Schneier on Security
The GitHub Blog
The GitHub Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
aimingoo的专栏
aimingoo的专栏
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
G
GRAHAM CLULEY
Know Your Adversary
Know Your Adversary
Latest news
Latest news
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
D
Docker
Recent Commits to openclaw:main
Recent Commits to openclaw:main
量子位
V2EX - 技术
V2EX - 技术
Project Zero
Project Zero

博客园 - dahai.net

常用的DOCUMENT.EXECCOMMAND WebForm中的tip - dahai.net - 博客园 修改所有用户表/存储过程/视图/触发器/自定义函数的所有者为dbo,则用游标(不要理会错误提示) 在无锡办理10万元注册资本的企业,所需要时间和费用 ftp讨论站连接 使用.NET实现断点续传 使用WMI创建站点和虚拟目录,并设置属性 - dahai.net - 博客园 千万数据翻页解决方案 CHM格式解析 从互联网加载图片到PictureBox1 Visual Studio .NET已检测到指定的Web服务器运行的不是ASP.NET 1.1 版 - dahai.net [分享]千万数量级分页存储过程(带效果演示)(转) 网站分析专用名词 列出sqlserver数据库孤立用户 写数据到文件 - dahai.net - 博客园 网页模糊归类算法的应用与实现 搜索引擎的实现原理 总结字符串编码(转) 一种快速的未登陆词识别方法(原理和实现)
Win 2003下无敌权限提升方法(转)
dahai.net · 2006-05-30 · via 博客园 - dahai.net


    前几天渗透了某大型网站,兴奋中。拿到WebShell后,第一个念头就是提升权限,把偶亲爱的后门挂到系统里。熟练的打开CMD,输入NET USER.

    不是好兆头,接着在WSCRIPT组件前打钩,再次执行NET USER.

    提示倒是换了,但是结果一样。接着偶想到了上传CMD.EXE,但是Windows 2003的上传在默认时是有限制的,不能大于200K,于是我上传了经典的Serv-U本地溢出程序,使用在Windows 2000下没有禁用WSCRIPT时的无敌调用提权大法。

    其实就是在调用CMD的地方写上本地溢出程序的路径及参数,一般在没有禁止WSCRIPT组件时,此法的成功率很高。但是结果依然是“禁止访问”,看来Windows 2003在默认情况下,安全性比Windows 2000默认时要强许多。失望之余,想到干脆去首页挂个马吧,最近正在玩PcShare,嘿嘿。跑到首页,加入偶的木马代码,点保存,“没有权限”,偶倒!太BT了吧?连修改首页的权限都没?管理员一定是把IIS用户降低到了GUEST组,或者给IIS目录单独设置了一个GUEST组的用户,并去掉了修改文件的权限。上帝太不公平了,怎么说都是偶辛辛苦苦搞来的Shell啊,现在一点用都没有!

    没办法,看看服务器里有啥好东西吧。翻来翻去,忽然眼前一亮:在某个目录里发现了congif.aspx文件。写到这里各位以为偶是要使用SA账号,通过SQLROOTKIT执行系统命令吧?错,偶看过了,账号不是SA权限的,是PU权限,什么都不能做,而且也不属于本文的介绍范围。偶注意的“ASPX”这个后缀,在默认安装情况下,IIS 6.0是支持。net的,也就是ASPX文件,但是在IIS 6.0里,ASP和ASPX两个扩展使用的却是2个不同的用户角色,ASP使用的是IUSER用户,管理员一般都比较注意这个账号,害怕被提升权限,所以把权限都降低到了GUEST,所以在ASP的WebShell里什么也不能做了。但是网管往往忽略了ASPX!由于。net使用的系统账号是ASPNET,而在默认情况下,这个账号是属于USER组的,这样我们上传一个。NET的后门上去,会以USER组的用户ASPNET执行命令,权限会有很大的提高,就可以提权了!

    说做就做,立即上传了一个ASPX的后门上去,打开CMD模块执行NET USER.

    哇哈哈,果然不出偶所料,终于可以执行CMD了!来看看权限,输入“net localgroup guests”。

    看到了吧?刚才我们在AspWebShell中使用的账号是IUSER_WEBSITE,属于GUESTS组,难怪什么权限都没有呢。再来看一下USERS组。

    ASPNET就是现在我们的AspxShell使用的账号,权限是USERS,比Guest大好多,嘿嘿!

    其实这并不算是什么漏洞,只是由于管理员粗心大意造成的隐患而已。算是提升权限的一个思路吧。如果管理员把ASPNET也降低权限,或者删除ASPX这个扩展,本文的方法就不管用了,不过这样的管理员到目前我还没遇到过。总之,整体安全才是最重要的。不要放过每一个细节。