关于ASP木马提升权限
减小字体
增大字体木马都改变文件名,然后写入系统目录,如果没有写入权限系统目录,就不能成功执行木马)。
解决:不过也有用压缩程序(不是通常说的压缩程序,这种压缩程序把可执行程序压缩后,文件变小了,但是仍然可以正常执行)将木马压缩,从而逃过杀毒软件的特征码检测。我曾使用Aspack成功压缩了一个木马,逃过了金山毒霸正式版的检测。不过也有的木马Aspack压缩不了,如冰河。
方法7 :Gina、GinaStub木马。虽然这个也叫木马,但是它的功能和上边的那种大不相同,因为一般的木马是在对方安装一个server端,一旦运行就可以使用client端连接到server端,并进行操作。而 ginastub 一般只有一个动态连接库文件,需要手工安装和卸载,他的功能也不是使用client端控制server端,它仅仅就是捕获用户的登录密码。
问题:安装较麻烦,成功的可能性低,而且安装不当会造成被安装的系统不能启动。
注:这一方法利用的不是系统的安全漏洞,因此不能通过安装补丁解决这一问题。关于Gina,可以参见我的另一篇文章《WinLogon登录管理和GINA简介》
方法8 :本地溢出。缓冲区溢出是进行攻击的最好办法,因为一般都可以获得系统权限或者管理员权限;不过很多远程溢出攻击不需要事先有执行程序的权限,而本地溢出就恰好适合提升权限。Win NT4 的 IIS4 的 ASP扩展有一个本地溢出漏洞,Windows 2000的静态图像服务也有一个溢出漏洞,利用该漏洞,攻击者可以获得系统权限。当然 Windows NT 和 Windows 2000 还有很多程序有溢出漏洞,这是这些程序不是总在运行,因此被利用的可能性比较小。
问题:(1 )ASP 扩展的溢出漏洞需要攻击者有向网站的脚本目录的写权限,才能把攻击程序放到网站上,然后执行。
(2 )静态图像服务缺省没有安装,只有用户在 Windows 2000 上安装静态图像设备(如数码相机、扫描仪等)时才自动安装。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
Windows 2000专用提升漏洞方法方法1 : Windows 2000 的输入法漏洞,利用这个漏洞任何人可以以LocalSystem 身份执行程序,从而可以用来提升权限,不过该漏洞一般限于物理接触 Windows 2000 计算机的人。当然如果开放了终端服务的话,攻击者也可以远程利用该漏洞。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法2 :利用 Windows 2000 的 Network DDE DSDM 服务漏洞普通用户可以LocalSystem 身份执行任意程序,可以借此更改密码、添加用户等。Guests组用户也可以成功利用该漏洞。
问题:这个服务缺省没有启动,需要启动这个服务。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法3 :Windows 2000的 TELNET 服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果 TELNET 发现一个已存在的管道名,它将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次 TELNET 创建服务进程时,便会在本地 SYSTEM 环境中运行攻击者代码。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法4 :WINDOWS 2K存在一个利用 Debug Registers提升权限的漏洞。如果攻击者能在 WIN2K中运行程序,利用此漏洞,他至少能取得对 %Windir%\\SYSTEM32和注册表HKCR的写权。因为x86 Debug Registers DR0-7 对于所有进程都是全局共享的,因此在一个进程中设置硬件断点,将影响其它进程和服务程序。
注:这一方法利用了 Windows 2000 系统的安全漏洞,不过到目前为止微软仍然没有补丁可以安装,但是漏洞攻击程序已经出现了,因此只能堵住攻击者的入口来阻止利用该漏洞。
--------------------------------------------------------------------------------
-- 作者:vjoy
-- 发布时间:2004-12-25 20:47:03
-- 巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
作者:aweige 来自:中国黑客红色军团
前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。其实,对很多功能强大的系统而言,拿到后台也就是拿到了一个好的后门了,呵呵............但是现在比较新的版本的很多asp系统密码都是MD5加密然后配合严格的验证程序来验证的,但是我们就没有办法突破这些限制了吗?no!我今天就是要说怎么突破这些限制让我们直奔后台,有马儿厩是好办事,follow
me............
session欺骗篇
首先简单说一下一般asp系统的身份验证原理。
一般来说,后台管理员在登录页面输入账号密码后,程序会拿着他提交的用户名密码去数据库的管理员表里面找,如果有这个人的账号密码就认为你是管理员,然后给你一个表示你身份的session值。或者程序先把你的用户名密码提取出来,然后到数据库的管理员表里面取出管理员的账号密码来和你提交的相比较,如果相等,就跟上面一样给你个表示你身份的sesion值。然后你进入任何一个管理页面它都要首先验证你的session值,如果是管理员就让你通过,不是的话就引导你回到登录页面或者出现一些奇奇怪怪的警告,这些都跟程序员的个人喜好有关。
知道了原理,我们现在的一个思路就是通过我们的asp木马来修改它的程序然后拿到一个管理员session,这样的话尽管我们没有管理员密码,但是我们一样在后台通行无阻了。我把这种方法称为session欺骗。限于篇幅不能每个系统都能详细说明,本文仅以动力文章系统为例来说明。
动力文章系统3.51,(图一)
图一
其实动力文章系统的所有版本全部通杀,包括动易。大家可以自己实践一下。
我们先来看一下它的验证内容。动力文章3.51的验证页面在Admin_ChkLogin.asp
,其验证内容如下:
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginT
解决:不过也有用压缩程序(不是通常说的压缩程序,这种压缩程序把可执行程序压缩后,文件变小了,但是仍然可以正常执行)将木马压缩,从而逃过杀毒软件的特征码检测。我曾使用Aspack成功压缩了一个木马,逃过了金山毒霸正式版的检测。不过也有的木马Aspack压缩不了,如冰河。
方法7 :Gina、GinaStub木马。虽然这个也叫木马,但是它的功能和上边的那种大不相同,因为一般的木马是在对方安装一个server端,一旦运行就可以使用client端连接到server端,并进行操作。而 ginastub 一般只有一个动态连接库文件,需要手工安装和卸载,他的功能也不是使用client端控制server端,它仅仅就是捕获用户的登录密码。
问题:安装较麻烦,成功的可能性低,而且安装不当会造成被安装的系统不能启动。
注:这一方法利用的不是系统的安全漏洞,因此不能通过安装补丁解决这一问题。关于Gina,可以参见我的另一篇文章《WinLogon登录管理和GINA简介》
方法8 :本地溢出。缓冲区溢出是进行攻击的最好办法,因为一般都可以获得系统权限或者管理员权限;不过很多远程溢出攻击不需要事先有执行程序的权限,而本地溢出就恰好适合提升权限。Win NT4 的 IIS4 的 ASP扩展有一个本地溢出漏洞,Windows 2000的静态图像服务也有一个溢出漏洞,利用该漏洞,攻击者可以获得系统权限。当然 Windows NT 和 Windows 2000 还有很多程序有溢出漏洞,这是这些程序不是总在运行,因此被利用的可能性比较小。
问题:(1 )ASP 扩展的溢出漏洞需要攻击者有向网站的脚本目录的写权限,才能把攻击程序放到网站上,然后执行。
(2 )静态图像服务缺省没有安装,只有用户在 Windows 2000 上安装静态图像设备(如数码相机、扫描仪等)时才自动安装。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
Windows 2000专用提升漏洞方法方法1 : Windows 2000 的输入法漏洞,利用这个漏洞任何人可以以LocalSystem 身份执行程序,从而可以用来提升权限,不过该漏洞一般限于物理接触 Windows 2000 计算机的人。当然如果开放了终端服务的话,攻击者也可以远程利用该漏洞。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法2 :利用 Windows 2000 的 Network DDE DSDM 服务漏洞普通用户可以LocalSystem 身份执行任意程序,可以借此更改密码、添加用户等。Guests组用户也可以成功利用该漏洞。
问题:这个服务缺省没有启动,需要启动这个服务。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法3 :Windows 2000的 TELNET 服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果 TELNET 发现一个已存在的管道名,它将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次 TELNET 创建服务进程时,便会在本地 SYSTEM 环境中运行攻击者代码。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法4 :WINDOWS 2K存在一个利用 Debug Registers提升权限的漏洞。如果攻击者能在 WIN2K中运行程序,利用此漏洞,他至少能取得对 %Windir%\\SYSTEM32和注册表HKCR的写权。因为x86 Debug Registers DR0-7 对于所有进程都是全局共享的,因此在一个进程中设置硬件断点,将影响其它进程和服务程序。
注:这一方法利用了 Windows 2000 系统的安全漏洞,不过到目前为止微软仍然没有补丁可以安装,但是漏洞攻击程序已经出现了,因此只能堵住攻击者的入口来阻止利用该漏洞。
--------------------------------------------------------------------------------
-- 作者:vjoy
-- 发布时间:2004-12-25 20:47:03
-- 巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
作者:aweige 来自:中国黑客红色军团
前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。其实,对很多功能强大的系统而言,拿到后台也就是拿到了一个好的后门了,呵呵............但是现在比较新的版本的很多asp系统密码都是MD5加密然后配合严格的验证程序来验证的,但是我们就没有办法突破这些限制了吗?no!我今天就是要说怎么突破这些限制让我们直奔后台,有马儿厩是好办事,follow
me............
session欺骗篇
首先简单说一下一般asp系统的身份验证原理。
一般来说,后台管理员在登录页面输入账号密码后,程序会拿着他提交的用户名密码去数据库的管理员表里面找,如果有这个人的账号密码就认为你是管理员,然后给你一个表示你身份的session值。或者程序先把你的用户名密码提取出来,然后到数据库的管理员表里面取出管理员的账号密码来和你提交的相比较,如果相等,就跟上面一样给你个表示你身份的sesion值。然后你进入任何一个管理页面它都要首先验证你的session值,如果是管理员就让你通过,不是的话就引导你回到登录页面或者出现一些奇奇怪怪的警告,这些都跟程序员的个人喜好有关。
知道了原理,我们现在的一个思路就是通过我们的asp木马来修改它的程序然后拿到一个管理员session,这样的话尽管我们没有管理员密码,但是我们一样在后台通行无阻了。我把这种方法称为session欺骗。限于篇幅不能每个系统都能详细说明,本文仅以动力文章系统为例来说明。
动力文章系统3.51,(图一)
图一
其实动力文章系统的所有版本全部通杀,包括动易。大家可以自己实践一下。
我们先来看一下它的验证内容。动力文章3.51的验证页面在Admin_ChkLogin.asp
,其验证内容如下:
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginT
