0x40 N點(diǎn)虛擬主機(jī)提權(quán)

0x41識別N0x40 N點(diǎn)虛擬主機(jī)提權(quán)點(diǎn)虛擬主機(jī)
在下面兩個(gè)目錄中常有npointsoft這樣的目錄。
C:\Program Files\
C:\Documents and Settings\All Users\「開始」菜單\程序

在用戶組信息當(dāng)中有這樣一欄：
目前國內(nèi)大部分網(wǎng)站的現(xiàn)狀是建立在各大虛擬主機(jī)系統(tǒng)上，獨(dú)立服務(wù)器的站點(diǎn)是越來越少。
所以一旦獲取主機(jī)的最高權(quán)限就能掌握大量的站點(diǎn)，而且虛擬主機(jī)又是那么變態(tài)，提權(quán)基本很難。于是本菜本著授人與魚不如授人與漁為大家總結(jié)，并分享給大家。
0x00 前言
?0x01什么是虛擬主機(jī)
?0x02神馬是安全模式
?0x03關(guān)于虛擬主機(jī)提權(quán)的一些話
0x10 星外主機(jī)提權(quán)
?0x11如何識別星外
?0x12常規(guī)星外提權(quán)
?0x13星外可讀可寫
?0x14其他思路星外提權(quán)
0x20華眾虛擬主機(jī)提權(quán)
?0x21如何識別華眾主機(jī)
?0x22敏感目錄及注冊表
?0x23一些技巧和經(jīng)驗(yàn)
0x30西部數(shù)碼提權(quán)
?0x31如何識別西部數(shù)碼
?0x32存放敏感信息位置
?0x33一些經(jīng)驗(yàn)
0x40 N點(diǎn)虛擬主機(jī)提權(quán)
?0x41識別N點(diǎn)虛擬主機(jī)
?0x42常規(guī)提權(quán)N點(diǎn)虛擬主機(jī)
?0x43相關(guān)資料
0x50其他常見虛擬主機(jī)提權(quán)
?0x51新網(wǎng)虛擬主機(jī)
?0x52 ZKEYS虛擬主機(jī)
?0x53其他不知名虛擬主機(jī)

0x00 前言

0x01什么是虛擬主機(jī)

?
?記得當(dāng)初才開始玩滲透的時(shí)候，很多牛牛就在群里說道“又提一個(gè)虛擬主機(jī)”。很好奇呀，什么是虛擬主機(jī)。這里介紹介紹。百科的解釋是每個(gè)“主機(jī)”都有獨(dú)立的域名，獨(dú)立的IP，就是我們所說的“空間”。而我們所常常見到的是虛擬主機(jī)上每個(gè)主機(jī)擁有獨(dú)立域名。總的來說，在一臺服務(wù)器上存在多個(gè)域名就叫做虛擬主機(jī)（這樣解釋就有點(diǎn)牽強(qiáng)）。常見的虛擬主機(jī)管理系統(tǒng)就是目錄中的那些～～～

0x02什么是安全模式
?安全模式是虛擬機(jī)管理系統(tǒng)一種常見的管理模式，其原理就是利用windows下的一些設(shè)置，控制權(quán)限。?
?安全模式如何判斷？一般虛擬主機(jī)都是支持aspx的，但是aspx馬的功能在安全模式下是不能完全發(fā)揮的。我們來看看安全模式下的配置：
?
?要做設(shè)置的web.config文件存在于：
?C:\WINDOWS\Microsoft.NET\Framework\v2.0.5**727\CONFIG\中其中關(guān)鍵部分默認(rèn)不修改是這樣的


請注意trust level=”Full” ?：Full即是完全權(quán)限，是系統(tǒng)默認(rèn)設(shè)置，沒有任何限制的權(quán)限，可執(zhí)行aspx大馬，功能沒有限制?？墒褂胊spx一句話連接。
Medium，權(quán)限配置為中，國內(nèi)大部分虛擬主機(jī)是這樣配置的，IIS中的應(yīng)用程序配置中存在aspx映射，但無法執(zhí)行任何aspx代碼，這樣就徹底的斷絕了aspx代碼的執(zhí)行。High，代碼訪問權(quán)限為高，此時(shí)可以執(zhí)行aspx大馬，但功能遭到限制，無法執(zhí)行命令、查看注冊表、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù) 和使用IISSPY，一但執(zhí)行以上操作，錯(cuò)誤頁面。
所以安全模式下的判斷一般是通過aspx馬來判斷，一般是無法使用iisspy，無法使用aspxcmd，

?

<securityPolicy>

<trustLevel name="Full" policyFile="internal" />

<trustLevel name="High" policyFile="web_hightrust.config" />

<trustLevel name="Medium" policyFile="web_mediumtrust.config" />

<trustLevel name="Low" policyFile="web_lowtrust.config" />

<trustLevel name="Minimal" policyFile="web_minimaltrust.config" />

</securityPolicy>

<trust level="Full" originUrl="" />

?

無法讀取注冊表，也通常無法連接一句話、、、、很多變態(tài)的設(shè)置。
?

這里看一張使用iisspy出現(xiàn)錯(cuò)誤頁面的圖片：
\
更多關(guān)于執(zhí)行aspx Webshell時(shí)出現(xiàn)的錯(cuò)誤信息原理詳解
安全模式大部分是存在于星外主機(jī)上，其他主機(jī)出現(xiàn)較少～～～

0x03關(guān)于虛擬主機(jī)提權(quán)的一些話 www.***.com
?虛擬主機(jī)提權(quán)一般是比較蛋疼的，但是并不是提不下來，雖然我們木有0day，但是收集信息終究可能找到突破口。
?還有就是很多機(jī)油讓我?guī)兔μ釞?quán)時(shí)，就說這個(gè)服務(wù)器不支持aspx，其實(shí)服務(wù)器是支持aspx的。很多虛擬主機(jī)的網(wǎng)站容器的設(shè)置一般就是asp和php一般是同時(shí)支持，aspx站點(diǎn)一般是單獨(dú)一個(gè)網(wǎng)站容器。所以就一定要拿下一個(gè)aspxshell，怎么找同服務(wù)器支持aspx的站點(diǎn)？我原來其實(shí)也說過，方法是利用bing搜索：ip:服務(wù)器ip ?aspx
如圖：
\
0x10 星外主機(jī)提權(quán)

0x11如何識別星外

識別星外主機(jī)，一般通過以下幾個(gè)來識別：
網(wǎng)站目錄識別，一般目錄中存咋freehost的基本都是星外
D:\freehost\xxxxx\
Phpinfo識別新建一個(gè)php：<?php phpinfo()?>打開后如下：
\
還有就是安裝目錄識別：
C:\Program Files\
C:\Documents and Settings\All Users\「開始」菜單\程序
這兩個(gè)目錄有明顯的星外安裝信息：
\
0x12常規(guī)星外提權(quán)

? 大多數(shù)情況下各種本地提權(quán)exp一般是無果的。常規(guī)的星外的提權(quán)是利用星外使用自帶的ftp和默認(rèn)一個(gè)freehostrunat用戶（administrators組），所以一旦知道該用戶密碼就可以順利登錄了。
? 首先找到可讀可寫目錄或者文件，上傳cmd和利用法客工具包中的星外讀IIS.exe

C:\Program Files\iiszj.com\log\> iis.exe -i
FreeHost ID：724
C:\Program Files\iiszj.com\log\> iis.exe -u 724
UserName:freehostrunat
Password: fa41328538d7be36e83ae91a78a1b16f!

如圖：
\
常規(guī)提權(quán)就是如此。

0x13星外可讀可寫

由上面可以知道，非安全模式的星外一旦找到可讀可寫基本上是秒殺。
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.*.0\?
C:\Program Files\Common Files\
C:\7i24.com\iissafe\log\?
C:\RECYCLER\
C:\windows\temp\
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
e:\recycler\
f:\recycler\
C:\Program Files\Symantec AntiVirus\SAVRT\
C:\WINDOWS\7i24.com\FreeHost
C:\php\dev
C:\~1\
C:\System Volume Information?
C:\Program Files\Zend\ZendOptimizer-3.*.0\docs
C:\Documents and Settings\All Users\DRM\
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
C:\Program Files\Zend\ZendOptimizer-3.*.0\lib\Optimizer-3.*.0\php-5.2.x\ZendOptimizer.dll?
C:\7i24.***.com\LinkGate\log?
C:\7i24.***.com\serverdoctor\log\
C:\WINDOWS\Temp\
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
c:\Program Files\360\360Safe\deepscan\Section\mutex.db
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log?
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf?
c:\Program Files\Common Files\Symantec Shared\Persist.bak?
c:\Program Files\Common Files\Symantec Shared\Validate.dat?
c:\Program Files\Common Files\Symantec Shared\Validate.dat?
c:\windows\hchiblis.ibl?
C:\Program Files\Thunder Network\Thunder7\
C:\Program Files\Thunder Network\Thunder\
c:\windows\DriverPacks\C\AM2
C:\Program Files\FlashFXP\

紅色部分是我常用的一些目錄和一些log文件，這些文件并不一定要硬搬，一般是尋找log文件??！

上面的可讀可寫目錄同樣適用其他虛擬主機(jī)。

0x14其他思路星外提權(quán)

思路一：
但是事與愿違的是目前大部分虛擬主機(jī)基本都是安全模式～～～
如何突破？一般是只有通過第三方軟件提權(quán)，常見的mssql，mysql和Navicat，如何找到mssql和mysql密碼，所以收集信息就十分重要。
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
星外存儲mssql密碼位置，解密后一般是無法連接，但是去可以用來社工。經(jīng)常碰見sa密碼和root密碼相同，當(dāng)然也可以試試直接用3389登錄下。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002
星外存貯ftp密碼的位置。同樣是用來收集信息。
navicat管理的MySQL服務(wù)器信息（一般是root帳戶）是存在注冊表里的，具體是:
HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers
導(dǎo)出注冊表導(dǎo)入到本機(jī)然后星號察看就OK了。
還有就是：
navicat會把操作日志（比如加賬戶）保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt，低版本是安裝目錄下的logs下LogHistory.txt
詳細(xì)的收集信息，請看文章：windows提權(quán)中敏感目錄和敏感注冊表的利用

思路二：
這里搜集了一些星外freehostrunat的一些密碼：
fa41328538d7be36e83ae91a78a1b16f!7 ? ?默認(rèn)密碼
991b95d33a17713068403079d4fe40a4!7
83e0843d0091c43c4837bea224ebf197!7
7b41043919eec81c59f9eb95ac3bc456!7
4d91105ff31261b8a75a06c30002b09d!7
41328538d7be36e83ae91a78a1b16f!7
a0539224259d2494cde874f88fe86bff!7
5720969b84e8749764b39fa567331d80!7
a87997782e814aebb69b2cded123d642!7
fad7be36e83ae91a78a1b16f!7
be36e83ae91a78a1b16f!7
至于用來干什么，我想你會懂，反正我是這樣成功過～～～

新思路三：
當(dāng)找可讀可寫的目錄 有時(shí)候找到了可讀可寫的目錄也不一定能執(zhí)行。也是提示無權(quán)限 再說服務(wù)器雖然沒有了360，但是還有麥咖啡跟一流監(jiān)控呢，很多東西都無法上傳。
未加入過濾行列的程序直接刪了都。 大家都知道，在C:\Program Files的文件夾有一個(gè)winrar的目錄文件夾。
先用aspx大馬試探下rar能否執(zhí)行。
命令是:C:\Program Files\Winrar\rar.exe或unrar.exe 如果能夠正被執(zhí)行的說明還是有希望的。
在本地創(chuàng)建一個(gè)rar的壓縮包。包含星外exp、cmd。上傳到網(wǎng)站的根目錄。接著就是查找可寫目錄了。到了這里有的人可能會說。找到了可寫目錄不就可執(zhí)行了嗎。但有的情況可能你沒有遇到過，明明提示上傳成功了的，卻找不到了，有時(shí)會在執(zhí)行的時(shí)會還是提示沒有權(quán)限。接著在aspx上執(zhí)行rar.exe。釋放文件 例如:x d:\freehost\wwwroot\xx.rar C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
\
這樣rar的文件就被釋放到了media index的目錄里。因?yàn)槭窃诜?wù)器上執(zhí)行的。很多殺軟不監(jiān)控。
接著就到aspx那執(zhí)行去了。順利拿到密碼。

新思路四：
找到星外管理網(wǎng)站：
一般是這些：
C:\freehostmain\ ? ?C:\freehostmain1\
D: \freehostmain\ ? ?D:\freehostmain1\
、、、、、
然后嘗試跳轉(zhuǎn)或者拿下這個(gè)管理端，F(xiàn)reeHostMain 文件夾（默認(rèn)是FreeHostMain），找到Global.asa文件，打開之后會看見如下代碼：
<SCRIPT LANGUAGE=VBScript RUNAT=Server> Sub Application_OnStart SQLPassword="abcd1234"'為了安全，請修改數(shù)據(jù)庫的登陸密碼為您自己的密碼，這個(gè)密碼可以在SQL2000企業(yè)管理器--安全性--登陸--FreeHost用戶屬性中設(shè)置。
如圖：
\
這就是星外的數(shù)據(jù)庫管理密碼，默認(rèn)賬號=FreeHost，密碼=abcd1234，然后用查詢分析器連接。數(shù)據(jù)庫中有大量的信息～～～神馬sa，root，ftp等密碼都有～～
\
serverlist 為虛擬主機(jī)服務(wù)器列表
serversqllist 為數(shù)據(jù)庫服務(wù)器列表
serverVPSlist 為VPS被控列表
\
servernam 為主機(jī)名稱site 為站點(diǎn)softtype 為數(shù)據(jù)庫類型IP 為IPadmpass 為數(shù)據(jù)庫密碼
這里數(shù)據(jù)庫密碼可以找到所有服務(wù)器的sa和root密碼，而且還是明文的！找到了就可以通過sa恢復(fù)組件進(jìn)行提權(quán)了。
接下來繼續(xù)找表 FreeHost_Admuser，這個(gè)是星外的后臺管理表段，密碼是 md5 加密。
\
通過nmap進(jìn)行掃描端口，找到http端口進(jìn)行嘗試打開，默認(rèn)后臺是adm
http://123.***.123.***:80/adm
當(dāng)然你在后臺也可以找到很多信息～～～

小技巧：

當(dāng)可讀可寫目錄存在空格的時(shí)候：
會出現(xiàn)這樣的情況：
'C:\Documents' 不是內(nèi)部或外部命令，也不是可運(yùn)行的程序
或批處理文件。
解決辦法是利用菜刀的交互shell切換到exp路徑，如：
Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目錄
然后再執(zhí)行exp或者cmd，就不會存在上面的情況了，aspshell一般是無法跳轉(zhuǎn)目錄的～～
看圖：
\
0x20華眾虛擬主機(jī)提權(quán)

0x21如何識別華眾主機(jī)

和星外識別差不多的方法，一般情況從目錄就可以看出：
絕大部分情況是D:\hzhost\
還有就是這種：e:\wwwroot\longzhihu\wwwroot\
其他的判斷方法就是看安裝目錄
C:\Program Files\
C:\Documents and Settings\All Users\「開始」菜單\程序


0x22敏感目錄及注冊表
?就經(jīng)驗(yàn)來說，一般是的溢出提權(quán)對虛擬主機(jī)是無果的，而且華眾又沒有星外那么明顯的漏洞。
?所以華眾提權(quán)關(guān)鍵之處就是搜集信息！??！
主要注冊表位置：
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass ? ? root密碼
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss ? ? ? sa密碼
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass ? ?
你會發(fā)現(xiàn)他是用的自己的加密方法，然后利用華眾0day破解sa和root密碼
工具下載插我把??！
但是現(xiàn)在有些破解不錯(cuò)來，就得登錄管理后臺進(jìn)行密碼還原。虛擬主機(jī)管理目錄
D:\hzhost\hzhost_master\
一般來說是拿得到shell的。

然后利用和sa進(jìn)行提權(quán)就不詳解了，具體請參考法克論壇提權(quán)文集
插我下載！??！

詳細(xì)的收集信息，請看文章：windows提權(quán)中敏感目錄和敏感注冊表的利用

主要敏感目錄：
c:\windows\temp下有hzhost主機(jī)留下的ftp登陸記錄。有用戶名和密碼
D:\hzhost\hzhost_master\ ? ?虛擬主機(jī)管理網(wǎng)站，數(shù)據(jù)庫同樣存在sa和root密碼

0x23一些技巧和經(jīng)驗(yàn)

經(jīng)驗(yàn)+技巧一：
在華眾主機(jī)當(dāng)中有很大部分的mysql用戶可以跨庫到mysql這個(gè)庫。
在mysql這個(gè)庫中有root的密碼，所以當(dāng)遇到華眾主機(jī)的時(shí)候，如果主站是php架構(gòu)的，就找下配置文件，連接上數(shù)據(jù)庫，查看mysql中的中root密碼。

經(jīng)驗(yàn)+技巧二：
曲線提權(quán)，先拿下HZHOST域名虛擬主機(jī)管理系統(tǒng)！?。?br>首先通過旁站查詢和nmap端口掃描確定管理系統(tǒng)登錄界面。
HZHOST域名虛擬主機(jī)管理系統(tǒng)6.5及其以前版本都存在登錄框注入。
這里簡單介紹下，原文請點(diǎn)擊：HZHOST域名虛擬主機(jī)管理系統(tǒng)sql注射漏洞+進(jìn)一步利用
\
\
存在注入：
123' UPDATE [memlst] SET u_pss='e10adc3949ba59abbe56e057f20f883e' WHERE u_nme='admin'--
這一句是把用戶admin的密碼修改為123456。管理員的后臺地址一般是http://www.***.com/master或者直接在首頁登陸了按切換到管理員后臺。

登錄管理后臺后，可以通過數(shù)據(jù)庫操作拿shell

拿到shell同樣利用sa和root密碼進(jìn)行提權(quán)。


0x30西部數(shù)碼提權(quán)

0x31如何識別西部數(shù)碼
一般是從安裝目錄就可以確定，安裝目錄d:\SOFT_PHP_PACKAGE\
網(wǎng)站目錄沒有明顯特點(diǎn)
還有就是通過
C:\Documents and Settings\All Users\「開始」菜單\程序
這個(gè)目錄進(jìn)行確認(rèn)。

0x32存放敏感信息位置
虛擬主機(jī)默認(rèn)軟件安裝路徑：d:\SOFT_PHP_PACKAGE\
在該目錄下：
setup.ini ? ? ? ? ? ? ? ? ? ? ? ? ?配置文件中記錄著mysql root 密碼
site.xml ? ? ? ? ? ? ? ? ? ? ? ? ? 記錄著網(wǎng)站配置信息（3.0以前）
3.0版本現(xiàn)在集成到了access數(shù)據(jù)庫中 也是存放在 默認(rèn)安裝路徑下的iistool.dat 文件中 用戶權(quán)限也是 users組可讀 這樣我們就可以利用webshell獲取到各種信息了哈哈（這個(gè)其實(shí)是一個(gè)access數(shù)據(jù)庫文件 他的連接密碼為：www***@west263@cn ）


0x33一些經(jīng)驗(yàn)
經(jīng)驗(yàn)一、
西部數(shù)碼虛擬主機(jī)安裝后默認(rèn)s-u的LocalAdministrator用戶密碼為root3306
mysql 的root密碼在安裝過程中會提示是否修改 默認(rèn)也是為root3306 或者 123456
經(jīng)驗(yàn)二、
該虛擬主機(jī)一般是未刪除Wscript.Shell組建的，所以可以在asp馬下進(jìn)行執(zhí)行命令，可讀可寫請參考星外主機(jī)提權(quán)這節(jié)。

西部數(shù)碼的資料相對較少，但是該虛擬主機(jī)的權(quán)限一般設(shè)置不會太死。提權(quán)還有很大的發(fā)揮。
希望機(jī)油們多多研究發(fā)掘漏洞～～～


0x40 N點(diǎn)虛擬主機(jī)提權(quán)

0x41識別N點(diǎn)虛擬主機(jī)
在下面兩個(gè)目錄中常有npointsoft這樣的目錄。
C:\Program Files\
C:\Documents and Settings\All Users\「開始」菜單\程序

在用戶組信息當(dāng)中有這樣一欄：
\
0x42常規(guī)提權(quán)N點(diǎn)虛擬主機(jī)

N點(diǎn)虛擬主機(jī)管理系統(tǒng)一般位于
C:/Program Files/
這個(gè)目錄中，你可以細(xì)心尋找。跳轉(zhuǎn)到根目錄，下載了數(shù)據(jù)庫文件。
默認(rèn)數(shù)據(jù)庫路徑
host_date/%23host%20%23%20date%23.mdb

找到了root的密碼，不過是加密，想到N點(diǎn)加密的破解

N點(diǎn)虛擬主機(jī)加密方式是他自定義的函數(shù)，封裝到了DLL里面，你在N點(diǎn)主機(jī)管理系統(tǒng)的目錄新建一個(gè)ASP文件內(nèi)容如下

<!--#include file="inc/conn.asp"-->
<!--#include file="inc/siteinfo.asp"-->
<!--#include file="inc/char.asp"-->
<%
set iishost=server.CreateObject("npoint.host")
x=iishost.Eduserpassword("NLFPK@OJCOCLA@E@FEKJMFADLALKLF@JHOIMAHO@LCDBAAMEOEKGKM@A",0)
response.write x
%>

把里面的NLFPK@OJCOCLA@E@FEKJMFADLALKLF@JHOIMAHO@LCDBAAMEOEKGKM@A換成你得到的HASH，訪問這個(gè)ASP文件就可以爆出來。如圖：
如果那個(gè)目錄沒有寫權(quán)限，你可以在本地自己搭建一個(gè)N點(diǎn)虛擬主機(jī)系統(tǒng)，然后把這個(gè)文件寫到管理目錄下面就可以了
另外，MYSQL,MSSQL和FTP密碼都以這種形式加密，同樣的可以進(jìn)行解密。


0x43相關(guān)資料

資料一、
　一般n點(diǎn)虛擬主機(jī)是可以aspx的iisspy，可以直接找到n點(diǎn)虛擬主機(jī)管理系統(tǒng)的網(wǎng)站根目錄。同樣也可以查看系統(tǒng)信息，用戶信息等

資料二、
?一般n點(diǎn)虛擬主機(jī)會備份mysql目錄，一般在D盤根目錄，一般是有可讀權(quán)限的，可以訪問下載user文件進(jìn)行破解root密碼。

資料三、通常情況下，有n點(diǎn)主機(jī)就有phpmyadmin，可以通過phpmyadmin的相關(guān)漏洞進(jìn)行滲透提權(quán)獲取root密碼等。
?