最新消息:
    你的位置:jinglingshu的博客 > 别人经典渗透过程学习 > 对几大虚拟主机提权的总结

    对几大虚拟主机提权的总结

    别人经典渗透过程学习 admin 2229浏览 0评论

    我等小黑总是有时候在用尽千辛万苦拿下网站webshell的时候发现,原来这台是一台虚拟主机(常见在一台服务器上存在多个域名就叫做虚拟主 机),比如常见的星外,n点等,虚拟主机提权一般是比较蛋疼的,但是并不是提不下来,虽然我们木有0day,但是收集信息终究可能找到突破口。然后有些人 就会问这些主机怎么来进行提权呢?那么我就来说说我所总结的一些方法吧,由于好久没有接触了,所以没办法找到合适的主机来进行截图讲解,本地搭建的话,又 有点麻烦(本屌丝此学期课程繁多,所以没办法做的很详细,见谅)。下面我就说一下常见的几个虚拟主机的提权方法。

    0x00 星外

      识别:

      首先要说的就是这个星外主机了,因为权限很死呐,呵呵,先说下如何识别星外主机

       一般可以通过以下几个来识别:

      1.目录 一般网站目录中存在 freehost的基本都是星外,比如 d:\freehost\xxxx\web\ 当然还有   D:\vhostroot\LocalUser\gdrt\   f:\host\xxx\web\  这些属于星外分支

      2.phpinfo(),  我们先建一个php文件,内容为  <?php phpinfo();?> 保存以后上传webshell,打开有如下说明

    003nFNOqgy6EahVnhIo3camp69.jpg

    也就是这个www.7i24.com的就说明他是星外主机

      3.安装目录识别,常见目录:

      C:\Program Files\
      C:\Documents and Settings\All Users\「开始」菜单\程序

      这两个目录会有明显的安装信息,如下图:

    003nFNOqgy6Eai478mYf8amp69.jpg

    一般存在这个 7i24的就是星外主机了。

    常规提权

    1.在最新版的是什么情况,但是本人所遇见的所有可执行命令的星外主机基本上都是被秒杀的,如何秒杀呢?
    有两种方式,第一,用星外0day,ee.exe,第二,用iis.vbs脚本(具体脚本跟文件可以从网上下载,或者给本人留言~),原因是星外主机在创 建的时候回自建一个用户名为freehostrunat的属于管理组的用户,并且创建的时候密码随机生成,很长一大串,类似 991b95d33a17713068403079d4fe40a4!7 这可是明文!不是加密过的!拿到这个账号密码,就可以登录了,不过要开放终端端口哦。没有的话,可以用ipc$空连接等办法开启端口在连接。

    2.执行命令,用现有的提权exp来提权(不过很少有成功的,也说不准~)

    3.说到执行命令,可能大家就纳闷了,平常自己看到的星外都不能执行命令啊!这个时候呢,就需要我们自己找可读可写可执行的目录,来上传自己的cmd来执行命令了,下面是我总结的一些星外的提权目录:

    C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
    C:\php\PEAR\
    C:\Program Files\Zend\ZendOptimizer-3.3.0\
    C:\Program Files\Common Files\有的杀毒 防火墙目录有权限
    C:\7i24.com\iissafe\log\     不过新版本的貌似放到C:\windows\下了,并且我也没看到有iissafe文件夹了
    C:\RECYCLER  C:\windows\temp\
    c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
    e:\recycler\
    f:\recycler\
    C:\Program Files\Symantec AntiVirus\SAVRT\
    C:\WINDOWS\7i24.com\FreeHost
    C:\php\dev
    C,D,E… 以下不一定有权限
    C:\System Volume Information
    C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
    C:\Documents and Settings\All Users\DRM\
    C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
    C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
    C:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

    用于文件替换:

    c:\Program Files\360\360Safe\AntiSection\mutex.db   360杀毒数据库文件
    c:\Program Files\360\360Safe\deepscan\Section\mutex.db  360杀毒数据库文件
    c:\Program Files\360\360sd\Section\mutex.db   360杀毒数据库文件
    c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。
    c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   态设置软件ISAPI Rewrite日志文件
    c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  态设置软件ISAPI Rewrite日志文件
    c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  静态设置软件ISAPI Rewrite配置文件
    主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
    c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
    c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
    c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件

    一下是两个最实用的替换文件:

    c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证
    c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
    DU Meter的流量统计信息日志文件

    这些,只需要我们把要上传的文件重命名成比如最后一个 log.csv,然后覆盖掉原来的文件就好了~,然后试试用这个文件执行命令,当然不是肯定可以哦,别的目录的话大家可以找一下啊d的扫目录脚本来扫一下,具体脚本可以网上下载或者跟我联系~

    还不能执行命令怎么办~

    新颖方法

    现在说一下,假如还没办法执行命令怎么办?这时候,我告诉你,还有一个办法。 远程调用~

    所谓远程调用就是调用远程计算机的cmd等工具来执行名,这里要求开启445端口,还有一点最好在一个c段,以为以前的ms08067的巨危漏洞,现在基本上445都给封了,所以最好又一台c段主机权限来做远程调用,具体怎么做,大家可以搜搜看,我就不多说了

    人品方法(搜集信息)

    这里的人品方法就是常见的 mssql,mysql,navicat等,怎么找密码呢?可以看注册表

    键值: HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

    这里可能能看到sa 密码,没准可以成功~

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002
    星外存贮ftp密码的位置。同样是用来收集信息。

     HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers

    navicat管理的MySQL服务器信息(一般是root帐户)

    剩下就是你人品超神的时候,搜集的一些星外的账号密码:

    fa41328538d7be36e83ae91a78a1b16f!7    默认密码
    991b95d33a17713068403079d4fe40a4!7
    83e0843d0091c43c4837bea224ebf197!7
    7b41043919eec81c59f9eb95ac3bc456!7
    4d91105ff31261b8a75a06c30002b09d!7
    41328538d7be36e83ae91a78a1b16f!7
    a0539224259d2494cde874f88fe86bff!7
    5720969b84e8749764b39fa567331d80!7
    a87997782e814aebb69b2cded123d642!7
    你可以试试看 ~

    先说这么多,有的以后再补充

    0x01 N点主机

    识别:

    在下面两个目录中常有npointsoft这样的目录。
    C:\Program Files\
    C:\Documents and Settings\All Users\「开始」菜单\程序

    在用户组信息里面有这样一栏:

    003nFNOqzy6Eakylvwhc5amp69.jpg

    N点主机提权常规思路:

    在C:/Program Files/ 目录中找数据库文件,默认数据库路径为

    host_date/#host # date#.mdb

    这样我们就可以找到root的密码了,不过是加密的,对于N点主机的密码的破解,要用到他自己自定义的函数,这时候可以自定义一个脚本来解密,脚本内容如下:

    <!–#include file=”../inc/conn.asp” –>
    <!–#include file=”../inc/char.asp” –>
    <!–#include file=”../inc/function.asp” –>
    <%
    set iishost=server.createobject(“npoint.host”)
    pass=iishost.Eduserpassword(“密文字符串”,0)
    response.write pass

    %>

    把密文填入脚本中,上传服务器,然后访问此脚本即可得到解密的root密码,另外,里面还有sa的密码,都是以这种形式来加密的,所以也可以如此解密

    一些资料

    资料一、
    一般n点虚拟主机是可以aspx的iisspy,可以直接找到n点虚拟主机管理系统的网站根目录。同样也可以查看系统信息,用户信息等

    资料二、
    一般n点虚拟主机会备份mysql目录,一般在D盘根目录,一般是有可读权限的,可以访问下载user文件进行破解root密码。

    资料三、通常情况下,有n点主机就有phpmyadmin,可以通过phpmyadmin的相关漏洞进行渗透提权获取root密码等。

    0x03  华众虚拟主机 

    识别:

    目录中含有  hzhost wwwroot 类似目录的可能就是华众虚拟主机,是可能哦~

    提权思路:

    后面都不说用常规exp,都是讲讲别的方法,主要就是搜集信息

    敏感目录及注册表
    就经验来说,一般是的溢出提权对虚拟主机是无果的,而且华众又没有星外那么明显的漏洞。
    所以华众提权关键之处就是搜集信息!!!
    主要注册表位置:
    HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\
    HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass     root密码
    HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss       sa密码
    HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 

    主要敏感目录:
    c:\windows\temp下有hzhost主机留下的ftp登陆记录。有用户名和密码
    D:\hzhost\hzhost_master\    虚拟主机管理网站,数据库同样存在sa和root密码

    0x04西部数码

    如何识别西部数码
    安装目录d:\SOFT_PHP_PACKAGE\
    C:\Documents and Settings\All Users\「开始」菜单\程序
    存放敏感信息位置
    虚拟主机默认软件安装路径:d:\SOFT_PHP_PACKAGE\
    在该目录下:
    setup.ini                          配置文件中记录着mysql root 密码
    site.xml                           记录着网站配置信息(3.0以前)
    3.0版本现在集成到了access数据库中 也是存放在 默认安装路径下的iistool.dat 文件中 用户权限也是 users组可读这样我们就可以利用webshell获取到各种信息了哈哈(这个其实是一个access数据库文件 他的连接密码为:www@west263@cn
    一些经验

    经验一、
    西部数码虚拟主机安装后默认s-u的LocalAdministrator用户密码为root3306
    mysql 的root密码在安装过程中会提示是否修改 默认也是为root3306 或者 123456

    经验二、
    该虚拟主机一般是未删除Wscript.Shell组建的,所以可以在asp马下进行执行命令,可读可写请参考星外主机提权这节。

    0x05新网主机

    新网虚拟主机识别一般是通过网站目录识别:
    D:virtualhost\xxx\www
    目前新网虚拟主机多出现在windows2008+iis7上,win2003上现在越来越少,win2003的情况,一般通过找root和sa密码提权,配置不严格时用溢出都可以提权。

    估计后面的主流就是新网+win2008+iis7
    这里就要介绍appcmd

    appcmd list site

    列出站点及其id号

    第二个命令:
    appcmd list config
    列出所有网站配置信息,如果是在iis7上配置的ftp,则还会列出网站ftp用户及密码

    第三条命令:
    appcmd list vdir
    该条命令可以列出id号和所有站点的目录

    通过上述命令可以跨到其他网站目录搜集信息~~~
    关于跨目录的介绍:详谈如何找到目标站目录

    0x06 ZKEYS虚拟主机

    敏感目录及信息

    注册表位置:
    HKEY_LOCAL_MACHINE\SOFTWARE\ZKEYS
    一般都在硬盘的根目录

    敏感目录:
    打开*\ZKEYS\Setup.ini
    1.[Mysql] (MYSQL设置) 
    2.root=aaa (管理员帐号) 
    3.RootPass=123 (管理员密码) 
    4.[Mssql] (MSSQL设置) 
    5.DbPath=d:\MSSQL\Data (MSQL数据库存放路径) 
    6.SA=aaa (管理眼帐号) 
    7.SaPass=123 (管理员密码) 
    Guid=www.chouwazi.com |XXXXXX 主机系统的 IP 授权 和 密码,下面就是看出比较鸡肋了。
    要记住mysql是在mysql_zkeys MySqlUserBySH安全账户下运行的mysql_zkeys是属于guest组权限的,MySqlUserBySH属于users组,而 mssql 就更悲剧了 安全配置很牛叉。
    不过值得庆贺的一点,国内的网管都喜欢通用密码,一般拿到 root 密码 社到管理的账号
    phpmyadmin 在 127.0.0.1:999 端口,必要的时候可以尝试。

    其他:
    找找有木有winwebmail ,这个东西有的 zkeys 装了,有的没装,如果找到这东西直接去他目录写个 shell,权限就比之前大了,exp 也能提了。
    默认目录 d:\winwebmail\web\
    只要有这东西就好办,可以写 lpk,或者替换里面的 exe 啥的都行。

    0x07总结

    不多说了,本人先说这么多,大家多多总结吧~

    转自:http://blog.sina.com.cn/s/blog_b8ab0ac20101s9zj.html

    转载请注明:jinglingshu的博客 » 对几大虚拟主机提权的总结

    与本文相关的文章

    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址