文件法客周年庆 之通杀Hzhost主机 和提权思路的总结

法客周年庆 之通杀Hzhost主机和提权思路的总结

作者 qingran

前言首先不得不可耻的承认我是一个可恶的标题党哈哈

本篇文章没有什么高深的技术只是利用了几个简单的小工具而已写这篇文章主要是为了给大家提供一些新思路 Hzhost已经是主流的虚拟空间程序了有时候遇见目标站找不到漏洞时候不妨看看是否服务器存在Hzhost可以省事很多

1.首先百度 或者Google搜索关键字 inurl:/pdtshw/hstshw/index.asp

找到华众主机的站点

这里我随意找了个示范站点www.xxooidc.net

华众的主机 可以试用大家都懂得 首先注册用户

随便找个空间最好找支持aspx脚本解析的空间

2信息收集信息收集是我们下一步进行提权的必备关键环节之一这一步很多人不大注意其实个人觉得这一步是非常重要的一个关键环节这里我给大家讲下本人提权前需要收集的资料

(1).主要需要收集的是服务器是否开了3389端口或者是否修改端口

查询方法有权限的话通过shell执行netstat–an命令 或者使用金狐大牛的Ssport扫描附高清无码图哈哈

下载地址 http://www.onlinedown.net/so ftdown/107772_2.htm

(2).查找服务器支持的脚本aspx php脚本权限通常比asp脚本大 如aspx脚本可以读取注册表信息这有时候是非常关键的

查询方法 asp网马通常会有此类功能或者自己上传相应脚本的网马文件测试

(3).查找服务器的利用软件如ZEND有个DLL可以利用 mysql mssql等是否支持查询方法查找软件常用目录如C:\Program Files D:\Program Files C:/vps 7i24phpzkeys等等

说到这里分享几个本人的小经验有时候丰富的小经验是一次成功入侵的关键

如西部数码的主机用户通常使用的都是西部数码的环境自动安装 这里他如mys qlserv-u的默认密码均为root3306

如phpzkeys的mysql默认密码为phpzkeys

如Hzhost默认的mssql环境自动安装密码为hzhostpass -@@入侵hzhost主机的时候可以试试这个sql密码能不能执行想想看当你幸幸苦苦翻遍整个目录最后找到的SA的密码是他以后你会有何感想 一定灰常郁闷吧

当然说到第三方软件提权不得不提的就是大名鼎鼎的server-u SU实在是漏洞多多

我们可以试试使用SU默认的密码#l@$ak#.lk;0@P进行提权尝试

或者尝试管理员添加

有时候会有意想不到的收获喔

或者添加FTP之后FTP碰见权限大的话是通过ftp.exe quote指令本地溢出漏洞执行FTP命令添加系统用户的

具体方法为开始-运行-cmd 键入ftp

这时就可以输入需要执行的命令格式为quote site exec"需要执行的命令”

如添加管理员为 quote site exec net user XXXX XXXX/add

其他命令照此格式就行

(4).找可写可执行目录 当无可利用的软件的时候我们可以通过可执行目录传上我们亲爱的木马文件执行之 或者其他的各大杀器如星外虚拟主机可以通过脚本列出admini strator权限的登录账户等。 。 。 。 。

众所周知要成功提权星外主机就要找到可写可执行目录可近来星外主机的目录设置越来越BT几乎没有可写可执行目录。另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换将这些文件替换为我们的cmd.exe和cscript.exe来提权经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限可以修改可以上传同文件名替换删除最重要的是还可以执行。

首先是我们可爱的360杀毒。c:\Program Files\360\360Safe\AntiSection\mutex.db 360杀毒数据库文件c:\Program Files\360\360Safe\deepscan\Section\mutex.db 360杀毒数据库文件c:\Program Files\360\360sd\Section\mutex.db 360杀毒数据库文件c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件只要安装了360杀毒就一定存在并且有Everyone权限。其他2个文件不一定。c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 态设置软件ISAPI Rewrite日志文件c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log态设置软件ISAPI Rewrite日志文件c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf静态设置软件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在权限问题老版本暂时没发现有此类问题。c:\Program Files\Common Files\Symantec Shared\Persist.bak诺顿杀毒事件日志文件c:\Program Files\Common Files\Symantec Shared\Validate.dat诺顿杀毒事件日志文件c:\Program Files\Common Files\Symantec Shared\Persist.Dat诺顿杀毒事件日志文件诺顿杀毒可能局限于版本我本机XP并未找到以上文件

以下是最后2个可替换文件c:\windows\hchiblis.ibl华盾服务器管理专家文件许可证c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csvDU Meter的流量统计信息日志文件

暂时知道以上文件权限为Everyone注意 即使可替换文件的所在目录你无权访问也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db可D:\ProgramFiles\360\360Safe\deepscan\Section目录没有访问权限用BIN牛的aspx大马访问D:\ProgramFiles\360\360Safe\deepscan\Sectio显示拒绝访问可mutex.db文件在该目录下你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

这样一来在没有找到可写可执行目录时候不防查看服务器上是否安装了以上软件有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

方法如上所示目录 A&D各凭经验吧

(5).查找服务器打的补丁 这个其实是效率最高的提权方法了 我们直接通过查找系统的补丁情况配合各大杀器提权

方法 system info命令

好多朋友见到Windows服务器就祭出pr、 巴西烤肉一气搞忙完免杀又忙找可写目录最后发现服务器打上了对应的补丁。本屌在提权前都会执行systeminfo命令查看对应补丁有没打上。 如

PR对应补丁号 KB952004

巴西烤肉对应补丁号 KB956572

找到没有补上的漏洞上杀器一次搞定 哈哈 ps此步需要配合上面的可写目录使用

(6).注册表信息

注册表信息的收集主要针对一些专门的软件如Hzho st星外navicat等软件

如此篇文章示范的Hzhost主机中

HKEY_LOCAL_MACHINE\software\hzhost\config\settings的注册表位置中存放着SA帐号密码等大量信息navicat管理的MySQL服务器信息一般是root帐户是存在注册表里的具体是HKEY_CURRENT_USER\S oftware\PremiumS oft\Navicat\S ervers下导出注册表导入到本机然后星号察看就OK了。 。

(7).日志服务

一些服务器信息会保存在日志文件中

如

Mssql服务有时会保存administrator密码到日志下navicat会把操作日志比如加账户保存到My Documents\Navicat\MyS QL\logs下的LogHistory.txt低版本是安装目录下的logs下LogHistory.txt

(8).后门程序的利用

如shift后门等 如ftp有权限或者aspx有windos目录的可写权限的话可以替换自己的shift后门进行提权

------本人的一些经验说一段落了 以后我可能会详细的各个利用点写一系列详细的教程好了言归正传 我们回到这次的网站上

注册开通好了试用空间 我通过查看脚本支持主机支持aspx脚本

二话不说上BIN牛的大马 查找Hzhost注册表前文有提到不记得了的可以倒回去看神器来了

SA权限有了 剩下来的还需要我说么 

PS一下 hzhost主机中如果权限设置过于BT 主站目录inc目录下coon字符串中有hzhost mssql密码的明文

可以用来读取到后台master的密码 主站权限尽在手中 你懂得

登录服务器通知管理员。 。 。 。 。 。