【投稿】简单渗透某IDC机房实录【下】

搞定了一台机器,接下来就开始留权限做后门了。做后门的就随便选了一台机器,由于之前已经从IDC机房数据库获得了管理员密码,这里就自己建立一个admin的管理员权限用户,相当于提权以后在没获得管理员密码的情况下做个后门演示吧,至于为什么做WINDOWS而不做LINUX的呢,因为没有哪个管理员用LIUNX机器来作为工作机器,要想保住整个段的权限,无意是控制住管理员的机器才是最好的办法,最好选择能于管理员的工作机器进行通信的服务器来做后门,控制好才机会不丢。其次LINUX的后门要编译各种内核安装头文件啥的,还要去google搜索,也就不做了,说白了LINUX的后门无非就是Rootkit而已,在放置几个suid的shell,利用ava隐藏一下。其实最主要还是通信问题,留住跳板才有机会,不然你空有一堆管理密码,没办法进行通信,也只有干瞪眼的份了。

直入主题吧,截图都花了好多时间,还得码字:

登录服务器以后首先quser查看登录会话情况,这是一个好习惯,

为什么,2个原因,第一,遇到管理在线直接先退出吧,省得像之前一样,被踢了出来。用WEBSHELL提权直接上个远控吧。第二,如果有管理员挂载的会话,能直接从LM中读取管理密码明文。(即使没有,登录过只要没重启动,都能读取到的。)

1

打开IIS控制台。发现很多站点,在做WEBSHELL后门的时候,千万不要选择入口站点来做后门,尽量选择别的站点。挑选了一个站点以后打开网站根目录,随便选择一个文件夹,建立Windows2003中无法或难以通过正常途径进行建立、查看、删除等操作的小强文件夹。俗称畸形文件夹。命令为:

可以看到无法正常双击打开该文件,而且如果有同名的文件夹是能进入,但其实是进入到另一个文件夹中,不明所以的也不知道咋回事。如 有个dir_name的文件夹,建立了dir_name..畸形文件夹以后,双击dir_name..文件夹是进入到dir_name文件夹中的,并不是进入到dir_name..文件夹中,进入畸形文件夹用命令行:

或者用开始运行打上绝对路径: C:\dir_name..\

一顿敲命令丢上马儿。IE访问之。

2

3

注意:IE访问WEBSHELL路径的时候要少一个. 符号。

4

这时候也许你会说,管理在这个目录看到你这个文件夹怎么办?不就知道了?这时候就要用到HHTC这东西了,一个朋友写的好东西。这东西能把HTC开头的所有文件夹和文件名都能隐藏起来。即使有路径也提示没有该文件,也无法删除。如图,Library文件夹下已经看不到HTC_door..文件夹了,但是还能打开畸形文件夹。

5

WEBSHELL查看一下权限,是network service。

6

克隆一下用户,由于东西加壳了。-L貌似出了点问题,但是能正常克隆也就不管了。SID的获取也可以从注册表的位置查看。在Windows2000/xp/2003和WindowsNT里,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IWAM_XXXX-0CTTPZWNXH(XXXX-0CTTPZWNXH为已被攻陷的服务器机器名) 克隆此用户为了加强隐蔽性,而且是IIS的用户,管理都不会禁用掉。

注意:大部份机器里IWAM_MACHINE用户的SID都为0x3EB。

克隆成功!然后打开IIS应用程序,选择ID选项卡,选择最下面的以系统权限运行。

7

8

Webshell直接调用CMD,查看权限,已经是system最高权限了。

DIR目录一下,的确是看不到HTC_door..文件夹了。

9

10

接着获取LM密码明文。这里IUR和IWM的IIS用户密码也可以记录一下。因为克隆的时候最好都克隆上。查看管理组,发现之前有同行来过,不过惨遭管理封杀了。克隆的用户没有显示在管理组的。其实和手工注册表克隆是一个道理的。登录的时候截取的是Administrator的用户。(ps: 这管理员的密码有够复杂够长的。)

11

12

还有什么LPK,magnify后门之类的,我就不做了。我想大伙应该对这个并不陌生。

征稿启事:91RI 一直相信“你不与人分享,谁与你分享”, 分享的确是件非常有意义的事情。为了让优秀的同学有 地方分享自己的独到见解,也为了让更多同学从分享中受益,同时我们也希望给那些愿意分享的小伙伴们一点点心意作为感谢,所以我们隆重了推出“有奖征文”活 动!本次活动的详情可以围观《征稿启事

本文获得赏金100RMB,已10.2日汇入作者账户。