|
经典Webshell提权集合九招(2) 查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。
第五
使用FLASHfXP也能提升权限,但是成功率就看你自己的运气了首先找到FlashFXP文件夹,打开(编辑)Sites. dat,这个文件这是什么东西密码和用户名,而且密码是加了密的。如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件。然后会发现打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦~~嘻嘻~
唔??不对啊,是来提升权限的啊,晕,接着来别半途而废。
大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。经过用xp星号密码查看器查看,然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示,然后最终把这个网站管理员的密码从这堆东西中找出来。那么下一步就可以链接这些新的服务器啦~~
经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地
还原对方管理员的各个站点的密码。
第六
WIN2K+IIS5.0默认情况下应用程序保护选项是"中(共用的)",这时IIS加载isapi是用的iwam_computername用户身份执行。但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、 win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名,并且没有做目录限制,以SYSTEM权限加载的 isapi有:
1、 idq.dll
2、 httpext.dll
3、 httpodbc.dll
4、 ssinc.dll
5、 msw3prt.dll
6、 author.dll
7、 admin.dll
8、 shtml.dll
9、 sspifilt.dll
10、compfilt.dll
11、pwsdata.dll
12、md5filt.dll
13、fpexedll.dll
所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test%81%5CSS技巧">CSSinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的 远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题,就是 "/"、"\"只识别了一个 "/",所以如果请求里面使用"\",就会错误的处理包含文件路径,有可能泄露东西或者出现权限漏洞,这种漏洞很多别的地方( PHP、ASP等)也还存在。
加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。
| 
