華眾虛擬主機(jī)提權(quán)

?

0x21如何識(shí)別華眾主機(jī)

?

和星外識(shí)別差不多的方法，一般情況從目錄就可以看出：

絕大部分情況是D:\hzhost\

還有就是這種：e:\wwwroot\longzhihu\wwwroot\

其他的判斷方法就是看安裝目錄

C:\Program Files\

C:\Documents and Settings\All Users\「開始」菜單\程序

?

?

0x22敏感目錄及注冊(cè)表

　　就經(jīng)驗(yàn)來說，一般是的溢出提權(quán)對(duì)虛擬主機(jī)是無果的，而且華眾又沒有星外那么明顯的漏洞。

　　所以華眾提權(quán)關(guān)鍵之處就是搜集信息?。?！

主要注冊(cè)表位置：

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass? ? ?root密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss? ? ? ?sa密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass? ??

你會(huì)發(fā)現(xiàn)他是用的自己的加密方法，然后利用華眾0day破解sa和root密碼

工具下載插我把?。?/p>

但是現(xiàn)在有些破解不錯(cuò)來，就得登錄管理后臺(tái)進(jìn)行密碼還原。虛擬主機(jī)管理目錄

D:\hzhost\hzhost_master\

一般來說是拿得到shell的。

?

然后利用和sa進(jìn)行提權(quán)就不詳解了，具體請(qǐng)參考法克論壇提權(quán)文集

插我下載?。?！

?

詳細(xì)的收集信息，請(qǐng)看文章：windows提權(quán)中敏感目錄和敏感注冊(cè)表的利用

?

主要敏感目錄：

c:\windows\temp下有hzhost主機(jī)留下的ftp登陸記錄。有用戶名和密碼

D:\hzhost\hzhost_master\? ? 虛擬主機(jī)管理網(wǎng)站，數(shù)據(jù)庫同樣存在sa和root密碼

?

0x23一些技巧和經(jīng)驗(yàn)

?

經(jīng)驗(yàn)+技巧一：

在華眾主機(jī)當(dāng)中有很大部分的mysql用戶可以跨庫到mysql這個(gè)庫。

在mysql這個(gè)庫中有root的密碼，所以當(dāng)遇到華眾主機(jī)的時(shí)候，如果主站是php架構(gòu)的，就找下配置文件，連接上數(shù)據(jù)庫，查看mysql中的中root密碼。

?

經(jīng)驗(yàn)+技巧二：

曲線提權(quán)，先拿下HZHOST域名虛擬主機(jī)管理系統(tǒng)?。?！

首先通過旁站查詢和nmap端口掃描確定管理系統(tǒng)登錄界面。

HZHOST域名虛擬主機(jī)管理系統(tǒng)6.5及其以前版本都存在登錄框注入。

這里簡單介紹下，原文請(qǐng)點(diǎn)擊：HZHOST域名虛擬主機(jī)管理系統(tǒng)sql注射漏洞+進(jìn)一步利用

目前國內(nèi)大部分網(wǎng)站的現(xiàn)狀是建立在各大虛擬主機(jī)系統(tǒng)上，獨(dú)立服務(wù)器的站點(diǎn)是越來越少。

所以一旦獲取主機(jī)的最高權(quán)限就能掌握大量的站點(diǎn)，而且虛擬主機(jī)又是那么變態(tài)，提權(quán)基本很難。于是本菜本著授人與魚不如授人與漁為大家總結(jié)，并分享給大家。

0x00 前言

　　0x01什么是虛擬主機(jī)

　　0x02神馬是安全模式

　　0x03關(guān)于虛擬主機(jī)提權(quán)的一些話

0x10 星外主機(jī)提權(quán)

　　0x11如何識(shí)別星外

　　0x12常規(guī)星外提權(quán)

　　0x13星外可讀可寫

　　0x14其他思路星外提權(quán)

0x20華眾虛擬主機(jī)提權(quán)

　　0x21如何識(shí)別華眾主機(jī)

　　0x22敏感目錄及注冊(cè)表

　　0x23一些技巧和經(jīng)驗(yàn)

0x30西部數(shù)碼提權(quán)

　　0x31如何識(shí)別西部數(shù)碼

　　0x32存放敏感信息位置

　　0x33一些經(jīng)驗(yàn)

0x40 N點(diǎn)虛擬主機(jī)提權(quán)

　　0x41識(shí)別N點(diǎn)虛擬主機(jī)

　　0x42常規(guī)提權(quán)N點(diǎn)虛擬主機(jī)

　　0x43相關(guān)資料

0x50其他常見虛擬主機(jī)提權(quán)

　　0x51新網(wǎng)虛擬主機(jī)

　　0x52 ZKEYS虛擬主機(jī)

　　0x53其他不知名虛擬主機(jī)

?

0x00 前言

?

0x01什么是虛擬主機(jī)

?

　　

　　記得當(dāng)初才開始玩滲透的時(shí)候，很多牛牛就在群里說道“又提一個(gè)虛擬主機(jī)”。很好奇呀，什么是虛擬主機(jī)。這里介紹介紹。百科的解釋是每個(gè)“主機(jī)”都有獨(dú)立的域名，獨(dú)立的IP，就是我們所說的“空間”。而我們所常常見到的是虛擬主機(jī)上每個(gè)主機(jī)擁有獨(dú)立域名?？偟膩碚f，在一臺(tái)服務(wù)器上存在多個(gè)域名就叫做虛擬主機(jī)（這樣解釋就有點(diǎn)牽強(qiáng)）。常見的虛擬主機(jī)管理系統(tǒng)就是目錄中的那些～～～

?

0x02什么是安全模式

　　安全模式是虛擬機(jī)管理系統(tǒng)一種常見的管理模式，其原理就是利用windows下的一些設(shè)置，控制權(quán)限。?

　　安全模式如何判斷？一般虛擬主機(jī)都是支持aspx的，但是aspx馬的功能在安全模式下是不能完全發(fā)揮的。我們來看看安全模式下的配置：

　　

　　要做設(shè)置的web.config文件存在于：

　　C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\中其中關(guān)鍵部分默認(rèn)不修改是這樣的

?

?

?請(qǐng)注意trust level=”Full”? ：Full即是完全權(quán)限，是系統(tǒng)默認(rèn)設(shè)置，沒有任何限制的權(quán)限，可執(zhí)行aspx大馬，功能沒有限制?？墒褂胊spx一句話連接。

Medium，權(quán)限配置為中，國內(nèi)大部分虛擬主機(jī)是這樣配置的，IIS中的應(yīng)用程序配置中存在aspx映射，但無法執(zhí)行任何aspx代碼，這樣就徹底的斷絕了aspx代碼的執(zhí)行。High，代碼訪問權(quán)限為高，此時(shí)可以執(zhí)行aspx大馬，但功能遭到限制，無法執(zhí)行命令、查看注冊(cè)表、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù) 和使用IISSPY，一但執(zhí)行以上操作，錯(cuò)誤頁面。

所以安全模式下的判斷一般是通過aspx馬來判斷，一般是無法使用iisspy，無法使用aspxcmd，

?

<securityPolicy>

<trustLevel name="Full" policyFile="internal" />

<trustLevel name="High" policyFile="web_hightrust.config" />

<trustLevel name="Medium" policyFile="web_mediumtrust.config" />

<trustLevel name="Low" policyFile="web_lowtrust.config" />

<trustLevel name="Minimal" policyFile="web_minimaltrust.config" />

</securityPolicy>

<trust level="Full" originUrl="" />

?

無法讀取注冊(cè)表，也通常無法連接一句話、、、、很多變態(tài)的設(shè)置。

?

這里看一張使用iisspy出現(xiàn)錯(cuò)誤頁面的圖片：

\

更多關(guān)于執(zhí)行aspx Webshell時(shí)出現(xiàn)的錯(cuò)誤信息原理詳解

安全模式大部分是存在于星外主機(jī)上，其他主機(jī)出現(xiàn)較少～～～

?

0x03關(guān)于虛擬主機(jī)提權(quán)的一些話 www.***.com

　　虛擬主機(jī)提權(quán)一般是比較蛋疼的，但是并不是提不下來，雖然我們木有0day，但是收集信息終究可能找到突破口。

　　還有就是很多機(jī)油讓我?guī)兔μ釞?quán)時(shí)，就說這個(gè)服務(wù)器不支持aspx，其實(shí)服務(wù)器是支持aspx的。很多虛擬主機(jī)的網(wǎng)站容器的設(shè)置一般就是asp和php一般是同時(shí)支持，aspx站點(diǎn)一般是單獨(dú)一個(gè)網(wǎng)站容器。所以就一定要拿下一個(gè)aspxshell，怎么找同服務(wù)器支持aspx的站點(diǎn)？我原來其實(shí)也說過，方法是利用bing搜索：ip:服務(wù)器ip? aspx

如圖：

\

0x10 星外主機(jī)提權(quán)

?

0x11如何識(shí)別星外

?

識(shí)別星外主機(jī)，一般通過以下幾個(gè)來識(shí)別：

網(wǎng)站目錄識(shí)別，一般目錄中存咋freehost的基本都是星外

D:\freehost\xxxxx\

Phpinfo識(shí)別新建一個(gè)php：<?php phpinfo()?>打開后如下：

\

還有就是安裝目錄識(shí)別：

C:\Program Files\

C:\Documents and Settings\All Users\「開始」菜單\程序

這兩個(gè)目錄有明顯的星外安裝信息：

\

0x12常規(guī)星外提權(quán)

?

? ?大多數(shù)情況下各種本地提權(quán)exp一般是無果的。常規(guī)的星外的提權(quán)是利用星外使用自帶的ftp和默認(rèn)一個(gè)freehostrunat用戶（administrators組），所以一旦知道該用戶密碼就可以順利登錄了。

? ?首先找到可讀可寫目錄或者文件，上傳cmd和利用法客工具包中的星外讀IIS.exe

?

C:\Program Files\iiszj.com\log\> iis.exe -i

FreeHost ID：724

C:\Program Files\iiszj.com\log\> iis.exe -u 724

UserName:freehostrunat

Password: fa41328538d7be36e83ae91a78a1b16f!

?

如圖：

\

常規(guī)提權(quán)就是如此。

?

0x13星外可讀可寫

?

由上面可以知道，非安全模式的星外一旦找到可讀可寫基本上是秒殺。

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

C:\php\PEAR\

C:\Program Files\Zend\ZendOptimizer-3.3.0\?

C:\Program Files\Common Files\

C:\7i24.com\iissafe\log\?

C:\RECYCLER\

C:\windows\temp\

c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

e:\recycler\

f:\recycler\

C:\Program Files\Symantec AntiVirus\SAVRT\

C:\WINDOWS\7i24.com\FreeHost

C:\php\dev

C:\~1\

C:\System Volume Information?

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs

C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll?

C:\7i24.com\LinkGate\log?

C:\7i24.com\serverdoctor\log\

C:\WINDOWS\Temp\

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

c:\Program Files\360\360Safe\deepscan\Section\mutex.db

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log?

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf?

c:\Program Files\Common Files\Symantec Shared\Persist.bak?

c:\Program Files\Common Files\Symantec Shared\Validate.dat?

c:\Program Files\Common Files\Symantec Shared\Validate.dat?

c:\windows\hchiblis.ibl?

C:\Program Files\Thunder Network\Thunder7\

C:\Program Files\Thunder Network\Thunder\

c:\windows\DriverPacks\C\AM2

C:\Program Files\FlashFXP\

?

紅色部分是我常用的一些目錄和一些log文件，這些文件并不一定要硬搬，一般是尋找log文件??！

?

上面的可讀可寫目錄同樣適用其他虛擬主機(jī)。

?

0x14其他思路星外提權(quán)

?

思路一：

但是事與愿違的是目前大部分虛擬主機(jī)基本都是安全模式～～～

如何突破？一般是只有通過第三方軟件提權(quán)，常見的mssql，mysql和Navicat，如何找到mssql和mysql密碼，所以收集信息就十分重要。

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

星外存儲(chǔ)mssql密碼位置，解密后一般是無法連接，但是去可以用來社工。經(jīng)常碰見sa密碼和root密碼相同，當(dāng)然也可以試試直接用3389登錄下。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002

星外存貯ftp密碼的位置。同樣是用來收集信息。

navicat管理的MySQL服務(wù)器信息（一般是root帳戶）是存在注冊(cè)表里的，具體是:

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers

導(dǎo)出注冊(cè)表導(dǎo)入到本機(jī)然后星號(hào)察看就OK了。

還有就是：

navicat會(huì)把操作日志（比如加賬戶）保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt，低版本是安裝目錄下的logs下LogHistory.txt

詳細(xì)的收集信息，請(qǐng)看文章：windows提權(quán)中敏感目錄和敏感注冊(cè)表的利用

?

思路二：

這里搜集了一些星外freehostrunat的一些密碼：

fa41328538d7be36e83ae91a78a1b16f!7? ? 默認(rèn)密碼

991b95d33a17713068403079d4fe40a4!7

83e0843d0091c43c4837bea224ebf197!7

7b41043919eec81c59f9eb95ac3bc456!7

4d91105ff31261b8a75a06c30002b09d!7

41328538d7be36e83ae91a78a1b16f!7

a0539224259d2494cde874f88fe86bff!7

5720969b84e8749764b39fa567331d80!7

a87997782e814aebb69b2cded123d642!7

fad7be36e83ae91a78a1b16f!7

be36e83ae91a78a1b16f!7

至于用來干什么，我想你會(huì)懂，反正我是這樣成功過～～～

?

新思路三：

當(dāng)找可讀可寫的目錄 有時(shí)候找到了可讀可寫的目錄也不一定能執(zhí)行。也是提示無權(quán)限 再說服務(wù)器雖然沒有了360，但是還有麥咖啡跟一流監(jiān)控呢，很多東西都無法上傳。

未加入過濾行列的程序直接刪了都。 大家都知道，在C:\Program Files的文件夾有一個(gè)winrar的目錄文件夾。

先用aspx大馬試探下rar能否執(zhí)行。

命令是:C:\Program Files\Winrar\rar.exe或unrar.exe 如果能夠正被執(zhí)行的說明還是有希望的。

在本地創(chuàng)建一個(gè)rar的壓縮包。包含星外exp、cmd。上傳到網(wǎng)站的根目錄。接著就是查找可寫目錄了。到了這里有的人可能會(huì)說。找到了可寫目錄不就可執(zhí)行了嗎。但有的情況可能你沒有遇到過，明明提示上傳成功了的，卻找不到了，有時(shí)會(huì)在執(zhí)行的時(shí)會(huì)還是提示沒有權(quán)限。接著在aspx上執(zhí)行rar.exe。釋放文件 例如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index

\

這樣rar的文件就被釋放到了media index的目錄里。因?yàn)槭窃诜?wù)器上執(zhí)行的。很多殺軟不監(jiān)控。

接著就到aspx那執(zhí)行去了。順利拿到密碼。

?

新思路四：

找到星外管理網(wǎng)站：

一般是這些：

C:\freehostmain\? ? C:\freehostmain1\

D: \freehostmain\? ? D:\freehostmain1\

、、、、、

然后嘗試跳轉(zhuǎn)或者拿下這個(gè)管理端，F(xiàn)reeHostMain 文件夾（默認(rèn)是FreeHostMain），找到Global.asa文件，打開之后會(huì)看見如下代碼：

<SCRIPT LANGUAGE=VBScript RUNAT=Server> Sub Application_OnStart SQLPassword="abcd1234"'為了安全，請(qǐng)修改數(shù)據(jù)庫的登陸密碼為您自己的密碼，這個(gè)密碼可以在SQL2000企業(yè)管理器--安全性--登陸--FreeHost用戶屬性中設(shè)置。

如圖：

\

這就是星外的數(shù)據(jù)庫管理密碼，默認(rèn)賬號(hào)=FreeHost，密碼=abcd1234，然后用查詢分析器連接。數(shù)據(jù)庫中有大量的信息～～～神馬sa，root，ftp等密碼都有～～

\

serverlist 為虛擬主機(jī)服務(wù)器列表

serversqllist 為數(shù)據(jù)庫服務(wù)器列表

serverVPSlist 為VPS被控列表

\

servernam 為主機(jī)名稱site 為站點(diǎn)softtype 為數(shù)據(jù)庫類型IP 為IPadmpass 為數(shù)據(jù)庫密碼

這里數(shù)據(jù)庫密碼可以找到所有服務(wù)器的sa和root密碼，而且還是明文的！找到了就可以通過sa恢復(fù)組件進(jìn)行提權(quán)了。

接下來繼續(xù)找表 FreeHost_Admuser，這個(gè)是星外的后臺(tái)管理表段，密碼是 md5 加密。

\

通過nmap進(jìn)行掃描端口，找到http端口進(jìn)行嘗試打開，默認(rèn)后臺(tái)是adm

http://123.1*3.1*3.1*3:80/adm

當(dāng)然你在后臺(tái)也可以找到很多信息～～～

?

小技巧：

?

當(dāng)可讀可寫目錄存在空格的時(shí)候：

會(huì)出現(xiàn)這樣的情況：

'C:\Documents' 不是內(nèi)部或外部命令，也不是可運(yùn)行的程序

或批處理文件。

解決辦法是利用菜刀的交互shell切換到exp路徑，如：

Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目錄

然后再執(zhí)行exp或者cmd，就不會(huì)存在上面的情況了，aspshell一般是無法跳轉(zhuǎn)目錄的～～

看圖：

\

0x20華眾虛擬主機(jī)提權(quán)

?

0x21如何識(shí)別華眾主機(jī)

?

和星外識(shí)別差不多的方法，一般情況從目錄就可以看出：

絕大部分情況是D:\hzhost\

還有就是這種：e:\wwwroot\longzhihu\wwwroot\

其他的判斷方法就是看安裝目錄

C:\Program Files\

C:\Documents and Settings\All Users\「開始」菜單\程序

?

?

0x22敏感目錄及注冊(cè)表

　　就經(jīng)驗(yàn)來說，一般是的溢出提權(quán)對(duì)虛擬主機(jī)是無果的，而且華眾又沒有星外那么明顯的漏洞。

　　所以華眾提權(quán)關(guān)鍵之處就是搜集信息?。。?/p>

主要注冊(cè)表位置：

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass? ? ?root密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss? ? ? ?sa密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass? ??

你會(huì)發(fā)現(xiàn)他是用的自己的加密方法，然后利用華眾0day破解sa和root密碼

工具下載插我把??！

但是現(xiàn)在有些破解不錯(cuò)來，就得登錄管理后臺(tái)進(jìn)行密碼還原。虛擬主機(jī)管理目錄

D:\hzhost\hzhost_master\

一般來說是拿得到shell的。

?

然后利用和sa進(jìn)行提權(quán)就不詳解了，具體請(qǐng)參考法克論壇提權(quán)文集

插我下載！??！

?

詳細(xì)的收集信息，請(qǐng)看文章：windows提權(quán)中敏感目錄和敏感注冊(cè)表的利用

?

主要敏感目錄：

c:\windows\temp下有hzhost主機(jī)留下的ftp登陸記錄。有用戶名和密碼

D:\hzhost\hzhost_master\? ? 虛擬主機(jī)管理網(wǎng)站，數(shù)據(jù)庫同樣存在sa和root密碼

?

0x23一些技巧和經(jīng)驗(yàn)

?

經(jīng)驗(yàn)+技巧一：

在華眾主機(jī)當(dāng)中有很大部分的mysql用戶可以跨庫到mysql這個(gè)庫。

在mysql這個(gè)庫中有root的密碼，所以當(dāng)遇到華眾主機(jī)的時(shí)候，如果主站是php架構(gòu)的，就找下配置文件，連接上數(shù)據(jù)庫，查看mysql中的中root密碼。

?

經(jīng)驗(yàn)+技巧二：

曲線提權(quán)，先拿下HZHOST域名虛擬主機(jī)管理系統(tǒng)?。。?/p>

首先通過旁站查詢和nmap端口掃描確定管理系統(tǒng)登錄界面。

HZHOST域名虛擬主機(jī)管理系統(tǒng)6.5及其以前版本都存在登錄框注入。

這里簡單介紹下，原文請(qǐng)點(diǎn)擊：HZHOST域名虛擬主機(jī)管理系統(tǒng)sql注射漏洞+進(jìn)一步利用

\

\

存在注入：

123' UPDATE [memlst] SET u_pss='e10adc3949ba59abbe56e057f20f883e' WHERE u_nme='admin'--

這一句是把用戶admin的密碼修改為123456。管理員的后臺(tái)地址一般是http://www.xx.com/master或者直接在首頁登陸了按切換到管理員后臺(tái)。

?

登錄管理后臺(tái)后，可以通過數(shù)據(jù)庫操作拿shell

?

拿到shell同樣利用sa和root密碼進(jìn)行提權(quán)。