妙用脚本代理提升权限

By:Lcx

可能很多人还不是很了解我所说的web脚本代理是个什么概念。WEB脚本代理就是在服务器上放一个asp或php等的动态的脚本,然后调用这个脚本去访问别的网站,那么被访问网站的显示你来访的IP就是服务器的IP。4ngel的PhpSpy后门和Marcos的aspadmin站长助手这两个webshell都集成了这个功能。无论是php或是asp的脚本代理其实都是调用了xmlhttp这一组件,将远程网站的数据用你所放webshell的服务器上来进行一次中转然后再将内容呈现给你而已。很多程序员都用这个原理来写一些小偷程序,像在网站上只放几个脚本文件就可以调用别的网站数据。如果我们把它用在了黑客攻击上,那能用它来做什么呢?我恰好用它来做了一点事,就是提升权限和内网入侵。

一、提升权限

这应当是一个特例,不过确确实实被我碰到了。我在一个被入侵的网站上放了一个海阳顶端网asp木马。这个网站是一个公司的独立服务器,所以目录权限并没有像虚拟主机设置的那样变态,几乎所有目录都有可写权限,wscript.shell等命令也能运行。不过也正是因为是公司的独立服务器,所以也没有装serv-u这样容易的提权软件,也没有额外的第三方服务软件,系统补丁打得也很快,提权还是比较困难。替换服务是一个可行的办法,不过需要时间等待。经过仔细查看,得到了一些有用信息。该服务器是IIS+ASP+ACCESS搭配的web服务器,装有防火墙,对外只开放了80端口。另外,还装有了一个apache+tomcat+jsp的内部web系统,开放的是8080端口,内部web系统的物理目录也查明是C:\ApacheGroup\Tomcat 5.0\server\webapps。这也是我以前装过apache+tomcat+jsp,凭经验判断出来的。通过在海阳顶端里运行netstat -an和用海阳顶端asp木马的查看服务选项及目录信息能够了解到这3点的,如图1、图2、图3所示。另外用ipconfig/all这个命令可以明确知道图1中显示的10.0.16.16这一内网ip的确就是该服务器的内网ip。



信息有了,提权思路也就来了。如果我能绕过防火墙,直接访问它内网的web系统http://10.0.16.16:8080 ,那么我就可以先用海阳顶端asp木马传一个jsp的webshell到它的物理目录C:\ApacheGroup\Tomcat 5.0\server\webapps,然后再来调用这个jsp的webshell了。它的tomcat是以服务的形式安装的,jsp一般是继承了其系统权限。开始我以为好办,直接用htran.exe这个工具将其8080端口转到外网,我不就可以成功了吗?结果令我很失望,端口是转出来了,不过还是访问不了它的jsp系统,不知是什么原因。冥思苦想中,突然想到了我传一个asp脚本代理到它的网站,再调用这个脚本代理去访问它的内网的jsp web系统不就可以了吗?它的内网web和外网web都在同一服务器上,用脚本代理去访问绕过防火墙是根本不成问题的,因为这个脚本代理会让内网web系统误认为是同一台机器在访问它。我手头上有一个Marcos写的WebProxy.asp脚本,就是起代理作用的。于是我改名为imgae.asp传到了外网asp系统的某个目录,先来看看它的效果:提交http://www.g****.com/uploadimages/image.asp?url=http://www.haiyang.net/safety/ip.asp ,效果如图4所示。可以看到我的访问ip的确变成了www.g****.com 该服务器的ip了。

www.haiyang.net/safety/ip.asp是我写的一个验证来访者ip、端口的小程序,代码很简单,如下:


ip->->port
->actfor->

好,脚本代理没有bug,那么再写一个jsp的webshell传到内网jsp web系统的物理目录下吧。jsp的webshell我写得很简单,就是一个直接运行命令加用户的的小脚本tlist.jsp,代码如下:


<%@page import="java.io.*,java.util.*,java.net.*" %>


也许会有人问,那为什么不采用现成一些jsp木马呢。开始我还真试过了,因为我用的这个WebProxy.asp后边只能直接跟一个url文件,url文件里的某些post参数并不起作用,现成的jsp的木马写得都有点复杂,功能也多,因此一些命令不可避免地要运用到一些参数。我把这个tlist.jsp传到了内网web的物理目录下,然后直接运行http://www.generalichina.com/uploadimages/image.asp?url=http://10.0.16.16:8080/manager/tlist.jsp 就在服务器上成功加了一个id为lcx的用户!如果要运行木马的话,你只要把tlist.jsp里的“●String cmd ="cmd.exe /c net user lcx lcx /add";●”这句改动一下就可以了。像我传了一个tlist.exe到服务器的系统目录底下,然后改为“●String cmd ="tlist.exe";●”,运行http://www.generalichina.com/uploadimages/image.asp?url=http://10.0.16.16:8080/manager/tlist.jsp 运行效果如图5所示。

在实际操作过程中要注意一点,如果你用tlist.asp运行了一次命令的话,想改下代码运行其它的程序就要把tlist.asp改一次名,要不然还是回显上一次执行的结果。另外,不知是此台服务器特殊还是其它的原因,我把木马放在非系统目录,像c:\muma.exe,然后修改●String cmd ="cmd.exe /c net user lcx lcx /add";●为●String cmd ="c:\muma.exe";●木马并没有运行,只有放到系统目录system32底下才成功运行了,这个原因我现在也不是很明确。

二、入侵内网及其它妙用

入侵内网,在提升权限的第一个例子里其实已经很明确了,如果那台机器的内网web放在别的机器上,做法与提升权限的方法都是一样的,不过没有内外网在同一台机器上方便而已,这也算是脚本入侵内网的一个思路吧,实际意义不是很大,聊胜于无。其它妙用是什么呢?如果你在学校内网里,只能上内网和访问学校的web服务器,学校的web服务器与外网又是相同的,那你在web服务器放一个WebProxy.asp或其它的脚本代理,是不是你在内网访问http://学校的web服务器/WebProxy.asp?url=http://www.163.net/index.html 就可以上外网了呢?一个asp脚本我估计就会解决以前很多学生的烦恼了吧?

WebProxy.asp.rar

相关日志

楼被抢了 4 层了... 抢座Rss 2.0或者 Trackback

  • 小劲

    :lol: :lol: :lol:
    不错的东西
    收下了
    哇哈“`

  • YANG

    今天 装了台机子 华硕K8N4-E的主板
    其他正常 就是上不了网
    网线没问题(其他的电脑可以上) 网线水晶头旁的2个灯 插上去的时候都不亮 主板的驱动已经装上了(好象主板驱动已经有网卡驱动了,也已经安装) 其他都正常 就是不能上网 真是怪事

    是不是主板的问题呀

  • neeao

    丫的,转载也不说明地址,找打啊你!嘿嘿! :lol: :lol:

  • 鬼仔

    日neeao一下..

    这篇文章的做法我还没试验.

发表评论