轉(zhuǎn)載處:t00ls.net

聲明，這不是什么星外0DAY，這充其量只是一個在找不到可寫可執(zhí)行目錄的一個提權(quán)思路。我不敢說是我最先發(fā)現(xiàn)的，可能有其他人也發(fā)現(xiàn)了，并且也在利用了。無數(shù)實例證明了lcx前輩那句話，細節(jié)決定成敗。這只是入侵滲透中的細節(jié)問題，剛好我注意到了。下面正文開始。

眾所周知要成功提權(quán)星外主機就要找到可寫可執(zhí)行目錄，可近來星外主機的目錄設(shè)置越來越BT，幾乎沒有可寫可執(zhí)行目錄。另一個“提權(quán)思路”出現(xiàn)了。尋找服務(wù)器上安裝的第3方軟件某些文件的權(quán)限問題來進行文件替換，將這些文件替換為我們的cmd.exe和cscript.exe來提權(quán)，經(jīng)我測試發(fā)現(xiàn)以下服務(wù)器常用軟件的某些文件權(quán)限為Everyone即為所有用戶權(quán)限，可以修改，可以上傳同文件名替換，刪除，最重要的是還可以執(zhí)行。

首先是我們可愛的360殺毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db? ?360殺毒數(shù)據(jù)庫文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db? 360殺毒數(shù)據(jù)庫文件

c:\Program Files\360\360sd\Section\mutex.db? ?360殺毒數(shù)據(jù)庫文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db這個文件，只要安裝了360殺毒就一定存在，并且有Everyone權(quán)限。其他2個文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log? ?態(tài)設(shè)置軟件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log? 態(tài)設(shè)置軟件ISAPI Rewrite日志文件

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf? 靜態(tài)設(shè)置軟件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在權(quán)限問題，老版本暫時沒發(fā)現(xiàn)有此類問題。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat? 諾頓殺毒事件日志文件

諾頓殺毒可能局限于版本，我本機XP并未找到以上文件

以下是最后2個可替換文件

c:\windows\hchiblis.ibl? 華盾服務(wù)器管理專家文件許可證

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量統(tǒng)計信息日志文件

暫時知道以上文件權(quán)限為Everyone，注意，即使可替換文件的所在目錄你無權(quán)訪問，也照樣可以替換執(zhí)行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目錄沒有訪問權(quán)限，用BIN牛的aspx大馬訪問D:\Program Files\360\360Safe\deepscan\Sectio顯示拒絕訪問，可mutex.db文件在該目錄下，你照樣可以上傳由cmd.exe換名后的mutex.db文件進行替換。

這樣一來在沒有找到可寫可執(zhí)行目錄時候，不防查看服務(wù)器上是否安裝了以上軟件，有的話可以上傳同文件名替換原文件為你的提權(quán)文件。這樣就可以成功執(zhí)行了。

星外默認帳號密碼

freehostrunat??

fa41328538d7be36e83ae91a78a1b16f!7

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11 sa密碼保存處

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ 其他網(wǎng)站的物理路徑

以下是最后2個可替換文件

c:\windows\hchiblis.ibl? 華盾服務(wù)器管理專家文件許可證

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

找不到 用這兩個絕對可執(zhí)行? 拉拉

mysql:

root

890poi890poi 星外的默認密碼

mssql:

sa

8ik,9ol.0p;/