| 3.4.2 利用网站配置文件提升权限攻击案例(1) 通过本案例可以学到: ① 了解Web.config配置文件; ② 利用Asp.net类型的WebShell来提升网站权限的一种思路。 在网络攻击中,信息的收集和分析非常重要,可以说拿到WebShell只是网络攻击的开始,而不是结束,因为后面还有很多事情需要做,比如提升权限,装后门,挂马,网络扩展和渗透等;其中最重要的就是提升权限,如果没有合适的权限,那就意味着后面所有步骤都是无用的。了解了入侵者如何进行提升权限,也就有了相应的防范措施。本案例是在获取一个ASP的Webshell的地址后,发现权限太低,不能通过WebShell来执行命令和浏览系统盘下的一些文件夹,基本上什么也干不了。在进行SQL注入时遇见的这种情况特别多,上传的ASP木马可能只能浏览当前站点目录,不能执行命令。本案例利用信息收集等方法,通过一个已知的Webshel来实现对该服务器进行详细的勘察。本文就如何提升网站权限方面给出一种方便快捷的方法,最终获取了对系统的完全控制。 在现有WebShell中执行命令。在海洋顶端2006中选择Shell.Application命令行操作模块,在命令行中输入"netstat-an"命令查看当前网络端口开放和连接情况,结果出现命令执行错误,无显示结果,如图3-107所示。  (点击查看大图)图3-107在WebShell中执行DOS命令 上传文件。既然无法执行命令,那么看看能否通过WebShell来上传文件,在WebShell中选择"FSO"文件上传功能模块,选择一个文件后,单击"上传"按钮上传文件,结果也出现错误,如图3-108所示。  (点击查看大图)图3-108通过WebShell上传文件 收集系统各种信息。通过以上两个步骤,发现直接通过WebShell无法提升权限,那么只有换一种思路和方法。再次通过"海洋顶端2006"来收集和分析该服务器信息,发现服务器支持Asp.net,因此我通过"海洋顶端2006"网页木马上传了一个Aspx的网页木马当前WebShell目录,如图3-109所示。 说明 ① 在Asp、Asp.net木马中都有一个"服务器信息"链接,可以很方便地查看服务器的硬件和软件相关信息。但是这些信息只是一个初步信息,需要更进一步获取信息,例如是否可以浏览操作系统安装磁盘的文件及其目录、是否可写,等等。 ② 一般情况,通过WebShell能够上传文件到WebShell当前目录,如果网站安全做得比较严格只能上传到指定文件目录,这个目录只有读取权限。 ③ 上传的Asp.net网页木马通用名称为"Webadmin",其功能与"海洋顶端2006"网页木马类似,但它是用Asp.net写的,上传上去以后在浏览器中输入相应的地址,即可进行相应的操作。 ④ 在"海洋顶端2006"及其他类似网页木马中,文件上传是一个非常重要的环节,上传一些可执行木马程序或者其他一些工具,然后利用社会工程学的原理,将该可执行文件命名为该机器上面已经存在的可执行文件,然后诱使管理员或者机器主人运行它,从而达到控制的目的。该方法的缺点是木马一旦发现,被查杀的几率在90%以上,而且要伪装成正常文件其难度较高。  (点击查看大图)图3-109上传Asp.net网页木马 寻找突破口。对于网站提升权限来讲,最便捷的方法就是通过数据库连接,目前一些网站都采用了Windows 2003 Server,这种机器一般配置都较好,在完全性方面跟Windows2000 Server相比有了较大提高,虽然如此,却也不是不能进行突破的。网络是没有绝对安全的。在Windows 2003 Server中提供对Asp.net技术的支持,其中最重要的一个文件就是Web.config,在本案例中通过WebShell就在其网站的根目录下找到了Web.config文件,如图3-110所示。 该文件必须放在网站的根目录中,如果没有该文件,一旦运行Asp.net程序就会出错,所有基本的配置信息都在该文件中。当然还有其他一些方法可达到目的,但由于本文主要是通过该配置文件提升权限,所以对其他方法不进行说明,只是将方法列出如下: ① 寻找"C:\Documents and Settings\Administrator\Application Data"下面是否有radmin.rpb,radmin.rpb文件是远程控制软件radmin3.0版本的地址簿。如果存在radmin的密码,通过radmin的客户端可以直接登录进行控制。 ② 寻找"C:\Documents and Settings\Administrator\Application Data\GlobalSCAPE\"下面是否存在sm.dat,如果存在该文件,则可以在本地直接通过运行GlobalSCAPE而导入sm.dat文件,然后就可以下载和上传文件,通过它来设施控制。 ③ 查看是否存在Serv-U,可以通过网页来直接提升其Serv-U权限。 ④ 查看"C:\Documents and Settings\All Users"是否存在Pcanywhere,如果存在则将该目录下面的所有cif文件下载回来,通过PcAnyWhere密码破解工具获取密码和用户名,然后直接通过PcAnyWhere连接即可。如果可行,千万记得一定要找主人不在的时候。  (点击查看大图)图3-110找到Web.config文件 获取数据库密码和账号。本案例通过WebShell将Web.config文件下载到本地,然后通过UltraEdit打开该文件,从中可以获取很多有用的信息;如图3-111所示,知道运行数据库服务器的类型为SQL Server,IP地址为127.0.0.1,说明数据库和Web服务器在同一台机器上面。其数据库用户权限为sa,数据库密码为"adminedp",连接的超时时间为"10000"。  (点击查看大图)图3-111获取数据库密码和账号 说明 Web.config只能通过一些编辑器打开,它是网站的配置文件,包括网站安全设置、网站数据库连接信息、网站出错处理等,一般是以XML格式生成的。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:38 , Processed in 0.150726 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
