星外提权新思路(提权漏洞)

小明_

成功提权星外主机就要找到可写可执行目录，可近来星外主机的目录设置越来越BT，几乎没有可写可执行目录。所以另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换，将这些文件替换为我们的cmd.exe和cscript.exe来提权，经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行。

首先是我们可爱的360杀毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db 360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db 360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db 360杀毒数据库文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db这个文件，只要安装了360杀毒就一定存在，并且有Everyone权限。其他2个文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log 伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log 伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf 伪静态设置软件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在权限问题，老版本暂时没发现有此类问题。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat 诺顿杀毒事件日志文件

诺顿杀毒可能局限于版本，我本机XP并未找到以上文件

以下是最后2个可替换文件
c:\windows\hchiblis.ibl 华盾服务器管理专家文件许可证

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量统计信息日志文件

暂时知道以上文件权限为Everyone，注意，即使可替换文件的所在目录你无权访问，也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限，用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问，可mutex.db文件在该目录下，你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

这样一来在没有找到可写可执行目录时候，不防查看服务器上是否安装了以上软件，有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

===========================================================================

目录或文件的权限设置有错会造成入侵!
为了从根本上解决问题,我们建议所有用户升级受控端安装包到2011-3-15版,并点击设置”ASP.net严格安全模型”,以下所说的问题所有设置了asp.net严格安全的用户不受影响.

对于服务器上的杀毒软件,我们建议装Mcafee,请不重装360,很多版本的360都有提权问题.

在2011-6-8星外发布了新版的星外杀马扫描工具(在群共享或星外后台可以下载)

在扫描结果中我们发现在大量服务器存在以下问题.

文件:C:\WINDOWS\TAPI\tsec.ini
处理办法:直接完全删除这个文件(不要保留在回收站)

360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
处理办法:直接完全删除360,所有360删除光后留下的文件都要删除

Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
处理办法:直接完全删除(不要保留在回收站),不要在服务器上装Flash组件

IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
处理办法:将三个文件的权限改成erveryone只读权限(没有写的权限)

DU Meter的流量统计信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
处理办法:删除它

诺顿
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
处理办法:直接完全删除这个软件

华盾
文件:C:\WINDOWS\hchiblis.ibl
处理办法:直接完全删除这个过滤软件,如果因为别的原因不能删除,可以将权限改成everyone读与写,不能有everyone运行的权限.

一流过滤:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm

小明_

如果已经是最新版本的一流就不需要处理,如果是旧版本的,要先删除这两个文件,然后再升级一流.正常情况下,这两个文件只有everyone读写的权限(没有运行)

其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
检查文件在高级权限管理中,是不是有everyone运行的权限,如果没有,就不用处理,如果有运行的权限要取消运行权限

文件:C:\7i24.com\LinkGate\log\….
目录:C:\7i24.com\LinkGate\log
目录:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\….
不需要处理,星外的防盗链,服务器医生等软件默认已自动设置好权限

如果看下这样的提示:
2011-6-8 15:04:50,方法失败，意外错误代码为 32。
这是扫描软盘A:造成的,不用处理

部分zend版本可能有这个提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x……
处理办法:将everyone的权限删除,改成adms,system全部权限,users只读权限.

处理后,请再用星外杀马扫描一次.

honker08

学习学习ing

zyxz2

学习学习ing

清风

嗯  不错 学习了