技术标签: 网络 cracer-CSDN
提个星外 从早上9点左右提权到凌晨1点。都还提不下 提星外我也成功过几次。但是这次是最蛋疼的一次。以下是我自己收集的资料和一些我总结出来的思路。希望对大家有帮助。
常见的虚拟主机识别:
星外虚拟主机主机D:\freehost\zhoudeyang\web\Prim@Hosting 一般很难找到可执行目录,可以测试用远程调用cmd,exp来提权
虚拟主机D:\hosting\wwwroot\ vhostroot
分支D:\Vhost\WebRoot\51dancecn\ vhostrootD:\vhostroot\localuser\星外分支D:\vhostroot\LocalUser\gdrt\
新网虚拟主机D:\virtualhost\web580651\www\ 可以找到很多可执行目录,但是目前基本上大部分为windows 2008 系统,提权有难度
华众虚拟主机E:\wwwroot\longzhihu\wwwroot\ 一般有安全模式星外分支F:\host\wz8088\web\
万网虚拟主机F:\usr\fw04408\xpinfo\ 支持aspx的话应该能扫到可执行目录
D:\freehost\ 你懂的。!
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost sa
找星外的sa密码保存处 经常破不出 就算破出来了经常连不上
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ 网站物理路径
这个有时候自然有用的
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\MySQL Server 5.0\ root
mysql:
root
890poi890poi 星外的默认密码
提权星外之前 必须要找可读可写可执行目录。
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\ 可以读 不可写
是不可以上传文件的 但我们可以尝试上传log.csv 覆盖 这个是可以的
这样可以执行cmd了
星外虚拟主机 可写目录跟帖汇集
最近貌似星外的讨论的很火,星外主要还是找有可写可执行权限的目录,新版本的星外要找这些目录基本上无望,我这里抛砖引玉希望各位共享更多目录。
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\有的杀毒 防火墙目录有权限
C:\7i24.com\iissafe\log\ 不过新版本的貌似放到C:\windows\下了,并且我也没看到有iissafe文件夹了
C:\RECYCLER C:\windows\temp\ 看运气了
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
还有这个,主要看MSSQL版本问题
一切看情况而定了, 有的星外网站目录和系统盘设置都很BT, 但是其他盘如 E,F盘,却可读可写饿e:\recycler\
f:\recycler\
C:\Program Files\Symantec AntiVirus\SAVRT\
c:\windows\system32\E177E04D548C4006A465EEB92D3DE021\Temp\
C:\WINDOWS\***.com\FreeHost
C:\php\dev
C,D,E... 以下不一定有权限
C:\~1
C:\System Volume Information
C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
星外最新总结
思路一:
但是事与愿违的是目前大部分虚拟主机基本都是安全模式~~~
如何突破?一般是只有通过第三方软件提权,常见的mssql,mysql和Navicat,如何找到mssql和mysql密码,所以收集信息就十分重要。
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
星外存储mssql密码位置,解密后一般是无法连接,但是去可以用来社工。经常碰见sa密码和root密码相同,当然也可以试试直接用3389登录下。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002
星外存贮ftp密码的位置。同样是用来收集信息。
navicat管理的MySQL服务器信息(一般是root帐户)是存在注册表里的,具体是:
HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers
导出注册表导入到本机然后星号察看就OK了。
还有就是:
navicat会把操作日志(比如加账户)保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt,低版本是安装目录下的logs下LogHistory.txt
详细的收集信息,请看文章:windows提权中敏感目录和敏感注册表的利用
思路二:
这里搜集了一些星外freehostrunat的一些密码:
fa41328538d7be36e83ae91a78a1b16f!7 默认密码
991b95d33a17713068403079d4fe40a4!7
83e0843d0091c43c4837bea224ebf197!7
7b41043919eec81c59f9eb95ac3bc456!7
4d91105ff31261b8a75a06c30002b09d!7
41328538d7be36e83ae91a78a1b16f!7
a0539224259d2494cde874f88fe86bff!7
5720969b84e8749764b39fa567331d80!7
a87997782e814aebb69b2cded123d642!7
fad7be36e83ae91a78a1b16f!7
be36e83ae91a78a1b16f!7
b261e1759169b6318907d4ff7b87c301!7
至于用来干什么,我想你会懂,反正我是这样成功过~~~
新思路三:
当找可读可写的目录 有时候找到了可读可写的目录也不一定能执行。也是提示无权限 再说服务器虽然没有了360,但是还有麦咖啡跟一流监控呢,很多东西都无法上传。
未加入过滤行列的程序直接删了都。 大家都知道,在C:\Program Files的文件夹有一个winrar的目录文件夹。
先用aspx大马试探下rar能否执行。
命令是:C:\Program Files\Winrar\rar.exe或unrar.exe 如果能够正被执行的说明还是有希望的。
在本地创建一个rar的压缩包。包含星外exp、cmd。上传到网站的根目录。接着就是查找可写目录了。到了这里有的人可能会说。找到了可写目录不就可执行了吗。但有的情况可能你没有遇到过,明明提示上传成功了的,却找不到了,有时会在执行的时会还是提示没有权限。接着在aspx上执行rar.exe。释放文件 例如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
这样rar的文件就被释放到了media index的目录里。因为是在服务器上执行的。很多杀软不监控。
接着就到aspx那执行去了。顺利拿到密码。
新思路四:
找到星外管理网站:
一般是这些:
C:\freehostmain\ C:\freehostmain1\
D: \freehostmain\ D:\freehostmain1\
、、、、、
然后尝试跳转或者拿下这个管理端,FreeHostMain 文件夹(默认是FreeHostMain),找到Global.asa文件,打开之后会看见如下代码:
<SCRIPT LANGUAGE=VBScript RUNAT=Server> Sub Application_OnStart SQLPassword="abcd1234"'为了安全,请修改数据库的登陆密码为您自己的密码,这个密码可以在SQL2000企业管理器--安全性--登陆--FreeHost用户属性中设置。
这就是星外的数据库管理密码,默认账号=FreeHost,密码=abcd1234,然后用查询分析器连接。数据库中有大量的信息~~~神马sa,root,ftp等密码都有~~
serverlist 为虚拟主机服务器列表
serversqllist 为数据库服务器列表
serverVPSlist 为VPS被控列表
servernam 为主机名称site 为站点softtype 为数据库类型IP 为IPadmpass 为数据库密码
这里数据库密码可以找到所有服务器的sa和root密码,而且还是明文的!找到了就可以通过sa恢复组件进行提权了。
接下来继续找表 FreeHost_Admuser,这个是星外的后台管理表段,密码是 md5 加密。
通过nmap进行扫描端口,找到http端口进行尝试打开,默认后台是adm
http://123.1*3.1*3.1*3:80/adm
当然你在后台也可以找到很多信息~~~
小技巧:
当可读可写目录存在空格的时候:
会出现这样的情况:
'C:\Documents' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
解决办法是利用菜刀的交互shell切换到exp路径,如:
Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录
然后再执行exp或者cmd,就不会存在上面的情况了,aspshell一般是无法跳转目录的~~
可近来星外主机的目录设置越来越BT,几乎没有可写可执行目录。另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换,将这些文件替换为我们的cmd.exe和cscript.exe来提权,经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行。
首先是我们可爱的360杀毒。
c:\Program Files\360\360Safe\AntiSection\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 静态设置软件ISAPI Rewrite配置文件
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件
诺顿杀毒可能局限于版本,我本机XP并未找到以上文件
以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
DU Meter的流量统计信息日志文件
暂时知道以上文件权限为Everyone,注意,即使可替换文件的所在目录你无权访问,也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db,可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限,用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问,可mutex.db文件在该目录下,你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。
这样一来在没有找到可写可执行目录时候,不防查看服务器上是否安装了以上软件,有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。
以下是keio收集的资料 和自己总结的思路。
星外提权目录收集c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 静态设置软件ISAPI Rewrite配置文件
主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。
c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件
c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件
以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
DU Meter的流量统计信息日志文件
文件:C:\WINDOWS\TAPI\tsec.ini
360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
DU Meter的流量统计信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
诺顿
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
华盾
文件:C:\WINDOWS\hchiblis.ibl
一流过滤:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
文件:C:\7i24.com\LinkGate\log\….
目录:C:\7i24.com\LinkGate\log
目录:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\….
部分zend版本可能有这个提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x……
c:\7i24.com\iissafe\log\sys
近期有用户的报告发映服务器被入侵,经查是回收站目录的权限有错造成的.
(最新发现一键GHOST产生的默认备份目录如~1也会有安全问题) ~~这个不错以前没注意到
另外,所有安装诺顿10的用户,请马上升级成诺顿11,不然以下目录一升级诺顿就有权限问题:
C:\Program Files\Symantec AntiVirus\SAVRT
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
C:\wmpub
C:\upload
C:\inetpub
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
有users,或everyone写入的权限,大家查下有没有这个问题
如果能找到可执行目录 90%能提权成功了 !
文章浏览阅读131次。我需要将一个xml的数据或者json数据的字符串转化为一个mysql中的表格形式。json_extract函数只能处理单个json数据,无法处理json数组,ExtractValue函数取出来的数据是拼接在一起的,不知道怎么分开,有没有其他办法呢,请教各位大神数据样例:[{"fCategoryId":"796","fCondition":"0.8"},{"fCategoryId":"730","f...
文章浏览阅读327次。首先在我的电脑选择一个盘打开然后在一个位置创建一个文件夹然后新建一个记事本文档将文件后缀名改为.v然后将实验代码输入到记事本文件中并保存然后打开Quartus II软件新建一个工程在弹出的选择界面中找到刚刚建立的记事本文档,工程名和记事本文档名字一样然后在下一个选择框中同样找到那个文件所在位置,调整相应的状态点击完成然后代码就导入到了工程中在最左侧的方框中右键文件点击setting然后又会弹出一个选择框然后调成modesilm然后调整一系列数据点击OK然后最左侧方框点击files点击文件右_module shared(x1,x2,s,f); input x1,x2,s; output f; assign f = (~s&x1)|(s&x2)
文章浏览阅读1.2k次,点赞29次,收藏24次。摘 要 IAbstract II引 言 11 控制系统设计 21.1 主控系统方案设计 21.2 脉搏传感器方案设计 31.3 系统工作原理 52 硬件设计 62.1 主电路 62.1.1 单片机的选择 62.1.2 STC89C51的主要功能及性能参数 62.1.3 STC89C51单片机引脚说明 62.2 驱动电路 82.2.1 比较器的介绍 82.3放大电路 82.4最小系统 113 软件设计 133.1编程语言的选择 133.2 Keil程序开发环境 _51单片机心率体温测量仪
文章浏览阅读770次,点赞3次,收藏8次。OneNET介绍_nb-iot工作步骤
文章浏览阅读1.5w次,点赞12次,收藏84次。Android Camera MIPI接口知识总结_csi的带宽估算adc色彩深度
文章浏览阅读3.4k次,点赞2次,收藏19次。计算机网络原理公式及计算题 (25页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦!11.90 积分 计算机网络原理公式及计算题第三章物理层公式一:数据传输速率的定义和计算每秒能传输的二进制信息位数,单位为位/秒(bits per second),记作bps或b/s R=1/T*Log2N(bps)T为一个数字脉冲信号的宽度(全宽码情况)或重复周期(归..._计算机网络公式总结
文章浏览阅读2.2k次,点赞31次,收藏36次。每年美赛结束后,评委根据参赛情况撰写评论文章,其中包括:以23年C题为代表的预测模型问题的关键点是什么?对23年C题各个小问的评价:哪些队伍的方案做得好,好在哪里?对文章其他部分的评价:数据预处理、敏感性分析…本文结合评委意见和当年O奖论文对23年美国大学生数学建模竞赛C题做出要点分析和总结,让我们一起来看看2023年美赛C题赛题分析吧!_美赛2023c题o奖论文
文章浏览阅读251次,点赞8次,收藏2次。通过在线工具超级ping,如果结果各地ping ip不太一样,证明使用了cdn。服务器可能会有多个域名,如果它的服务器的子域名可能因为访问量问题而不需要做CDN。这样我们直接nslookup 域名就直接解析出目标真实ip了。和各地ping一个原理,服务器可能在偏僻国家并没有做cdn。以国外的ip请求访问 因为可能对方只做了国内的cdn。查询历史ip域名绑定记录,很可能ip还是和现在一样的。直接ddos对方 消耗掉cdn资源。ico文件的hash值在引擎上搜索。通过邮件原文查看真实ip。
文章浏览阅读444次。在Sublime的setting里面添加:"update_check": false,保存即可。
文章浏览阅读455次。一、认识微服务跟踪的基础设施1.zipkintwitter开源的分布式跟踪系统,它的主要功能是收集系统的时序数据,从而追踪微服务架构的系统延时等问题。同时,它还提供了一个非常友好的界面,来帮助分析追踪数据。另外,它还有助于分析微服务之间的依赖关系。2.Spring Cloud Sleuth为Spring Cloud提供了分布式跟踪的解决方案。3.微服务跟踪的目的服务之间通过网络进行..._微服务链路追踪
文章浏览阅读1.7k次。报错找不到符号,可能原因很多,也许是jdk版本原因,也许是配置原因,等等先查看下以下配置框选中的,应该为勾选状态。如果不是这个原因,再去查找其他可能。_isnull找不到符号
文章浏览阅读1.5k次,点赞2次,收藏3次。如果要在阿里云上部署django网站,建议不要使用django自带的sqlite,虽然一时省事,但带来了很多其他的麻烦。建议使用MySQL或者PostgreSQL。由于MySQL比较流行,我就选择了MySQL。安装MySQL在使用MySQL之前,首先需要安装。在ubuntu系统下,输入以下命令:sudo apt-get install mysql-serversudo apt-get isntal_django使用阿里rds mysql数据库