Chinadu's Blog

windows 2003中的远程桌面功能非常方便，但是初始设置只允许2个用户同时登陆。有些时候因为我在公司连接登陆后断开，同事在家里用其他用户登陆后断开，当我再进行连接的时候，总是报错“终端服务超过最大连接数”。这时候我和同事都不能登陆，有没有什么办法可以达到以下几个目的中的一个：

　　1. 为账号设定权限，管理员登陆的时候强制注销多余的用户。
　　2. 管理员登陆的时候自动接管在其他地方断开的状态（本来这个功能具备，但有些时候不行）。
　　3. 不安装总段服务的时候增加连接数（不是临时授权）

　　通过以下方法来增加连接数:
阅读全文...

作者：Netpatch

有的时候，我们需要上传大东西，但是由于W2K3默认上传限制为200KB。这个时候，不得不分包，依次上传，那个累呀！
有人问为什么不用Microsoft.XMLHTTP和Adodb.Stream组件，直接从服务器上下载呢【要是不能访问网络呢？你会怎么做？】

于是有了这个超级上传程序。实践可以支持大于10M的文件!

暂时没测试出什么问题！若有问题,请留言！

转载请保留版权。谢谢合作!

SU.vbs ----- 客户端
s.asp ----- 服务端

使用方法:
阅读全文...

服务器上运行的第三方软件历来就被攻击者们看作是入侵目标系统的捷径。现在，著名的腾讯QQ又被列入了这些捷径名单，好在QQ并不是服务器必备的软件之一，所以相信不会造成大范围的危机。文中遇到特殊情况虽然不多，但大家还是应该遵照“可能的就应该防范”的原则做出相应防御。

一、在Windows2003中得到的Webshell

此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003，但OA仍存在asp文件上传漏洞，所以webshell的取得并没有任何悬念。阻碍是在权限提升时遇到的。

登陆webshell后发现只能查看服务器的D盘，对C盘不能进行任何访问，webshell的提示是“没有权限”。这点早在意料之中，因为wenshell只有guests组权限，再加上win2003默认禁止了“Everyone"匿名用户及“Guest"组权限用户访问cmd.exe，还造成了不能通过webshell运行cmd.exe。

唯一值得庆幸的是利用Webshell 可以对D盘（存放有web虚拟目录）各个子目录进行读写。这里除了web虚拟目录还有一些数据备份文件和一个腾讯QQ安装目录Tencent。

二、破解Serv-u的终极防范

Windows2003的种种默认安全配置展示了它强大的一面，近一步提升现有权限似乎已不太可能，直到我试图从系统入手向这台服务器发出FTP链接请求并看到Serv-u的banner时才觉得又有了一线希望。

前面提到由于Windows2003对cmd.exe的权限限制，通过webshell方式不能运行cmd.exe，这样的论断在2004年6期的防线的《构建Windows2003堡垒主机》一文也曾提到,但实践表明这并不正确，通过webshell上传本地非2003系统中未受限制的cmd.exe文件到可执行目录，再通过wscript组件，同样能够通过webshell方式在Windows2003下获得相应权限的cmd.exe。结合nc.exe，甚至还能得到一个guest组权限的命令行下的shell。

为此，我对老兵的站长助手6.0做了一些改进，增加了如下代码，使其能够利用Wscript.shell组件运行本地上传的cmd.exe。

Function CmdShell()
If Request("SP")<>"" Then Session("ShellPath") = Request("SP")
ShellPath=Session("ShellPath")
if ShellPath="" Then ShellPath = "cmd.exe"
if Request("wscript")="yes" then
checked=" checked"
else
checked=""
end if
If Request("cmd")<>"" Then DefCmd = Request("cmd")
SI="

"
Response.Write SI
End Function

利用时只需在shell路径中指定上传的cmd.exe路径，再选中选项Wscript就能运行一些所需权限较低的系统命令，如“net start”或者“netstat -an”，依次运行这两个命令后Webshell回显了众多服务，包括Serv-U FTP Server。

活动端口列表中又出现了43958端口，于是我自然想到了神通广大的Serv-u ftp Server本地权限提升漏洞。可真正用到的ftp本地权限提升工具在执行系统命令时，却出现了530错误提示。看来管理员或者其他人对Serv-u打上了布丁或者做了某些安全配置。

为了知道究竟是怎样的安全配置，上网查了查相关文章，其中有一篇《Serv-u ftp Server 本地权限提升漏洞的终极防范》很受欢迎，被多方转载，作者是世外高人xiaolu。从错误提示看很有可能做了该文所谓的终极防范，即对ServUDaemon.exe中默认的管理员或密码进行了修改。

当然这只是假设，只有将目标服务器上的ServUDaemon.exe下载下来看看具体配置才能确定，但是安装有Serv-u的C盘禁止访问，包括Programe files 目录，权限提升再次受阻。

三、利用QQ2005共享文件漏洞将权限提升到底

再次翻了翻D盘，又见到了那个很少能在服务器中看到的Tencent文件夹。查看whatsnew.txt。

得知QQ的版本是QQ2005 Beta1，几个于相关文件的创建时间也说明网管最近在服务器上登陆过QQ。难道只能用QQ？经过一番思索，终于想到一个可以利用的QQ2005在文件共享功能上的一则漏洞。

该漏洞是随着QQ2005贺岁版新增功能出现的。可以将其危害描述为：利用该漏洞，攻击者可以浏览，读取用户系统中的任意文件（如sam文件、数据备份文件、敏感信息文件）。影响系统：安装有QQ2005贺岁版以上的所有Windows系列操作系统。

具体利用方法是：先在本机登陆自己的QQ，调出“QQ菜单”，选择工具－>设置共享，指定C:\或者其他任何有利用价值的分区为共享文件，完成后关闭QQ，找到安装目录下的以QQ帐号命名的文件夹内“ShareInfo.db”文件。上传覆盖目标服务器上相同文件（如：D:\Tencent\QQ\654321\ShareInfo.db）。这样，当网管在服务器上登陆QQ时就会向好友开放C盘为共享目录。

因为陌生人是不能共享对方文件，所以还需要用社会工程学申请将管理员加为好友(理由当然越可信越好)。如果管理员通过请求，服务器的C盘会以QQ共享文件目录的名义被共享，原本不能通过WEBSHELL访问的ServUDaemon.exe文件就能被下载，遇到阻碍的权限提升之路又能继续了。

当晚管理员就通过了申请，将我添加为好友。珊瑚虫QQ上显示的IP正是目标服务器的IP，于是下载了ServUDaemon.exe文件，用UE打开后查找127.0.0.1，发现默认配置下的内置帐户“LocalAdministrator”果然被改成了“LocalAdministruser”。

这看起来是一个很“终极”的防御，但提出该方法的xiaolu似乎没有进行攻防所须的换位思考就将其公布，要知道攻击者只需知道修改后的配置，并对本地权限提升利用工具进行相应的修改，所谓的终极防御也就被攻破了。方法还是用UE打开脱了壳的serv-u本地权限提升利用工具，将LocalAdministrator改为LocalAdministruser即可。

然后上传修改后的ftp2.exe，在wscript.shell中执行D:\web\ftp2.exe “net user user password /add”后看看结果，已经成功添加了一个用户。再把该用户加入administrators组和“Remote desktop users”组后登陆了目标服务器的远程桌面。

经过重重险阻，终于彻底攻陷了这台坚固的Windows2003堡垒。

四、简单启示

可以看出，和“服务越少越安全”一样，服务器上运行的“第三方”越少越安全，流行的PcAnywhere、VNC、Serv-U 权限提升和这里提出的利用QQ2005提升权限，都是可以这样避免。

首先我说明，此文只做为技术交流，同时也并没有什么技术。
前几天再检测有一个服务器的时候，（虚拟主机）管理员的设置很BT，虽然没有禁止WS，但是呢，CMD等文件均不可以访问，并且不能运行任何系统命令，上传一个MT.exe 到了网站目录，可写，并且使用WS可以运行，因此我首先想到的就是利用WS的命令达到提权，因为没装VNC，PCANwhere，至于系统漏洞的本地提权也就不用去试都知道了，行不通的,所以拿系统权限只有靠FTP了，但是呢管理员把FTP的本地密码改了，如果是6.2的话，你还可能可以下回来查看到密码，可惜的是6.3看密码是没有希望了，这个时候想到的自然是SNIFFER，这个时候，自然是想到了使用htran和NC，把端口重定向过来。
反弹回来之后就是目录限制的问题了，我已经遇到了很多个服务器，基本上都是这样，把你的权限限制在 C:\windows\system32\inetsrv 目录里面了， C：的根目录你可以进去，但是无可写权限，大家都知道WINDOWS\TEMP可写，但问题是反弹回来的SHELL无权限DIR的，更加别说权限MD了，因此很是郁闷，毕竟是连网站目录也跳转不到了，所以就是上传了XSNIFFER也没有用，无奈之下，想了很久在里面瞎逛了很久，最后当我切入到 ASP Compiled Templates 目录的时候随便输入一个 ： md 123 然后是 cd 123 结果，我还真的进到了123 的目录，然后赶快退出来，立刻再MD WOKAO cd wokao之后，就发现了，这个目录可写，然后在ASP木马里面输入路径：C:\windows\system32\inetsrv\ASP Compiled Templates 结果发现，ASP木马对该目录竟然连访问权都没有，这个时候大家或许就明白了，反弹回来的SHELL的权限与网站的权限是不一样的，呵呵，到了这里，自然就是轻车路熟了，继续之前的想法，架设一个 TFTP服务器， TFTP了一个XSNIFFER出来，然后在本地嗅探，以后就是等了，到第2天，自然就是 ctrl+c 终止嗅叹之后，立刻查看：password.txt 了，拿下目标站的管理员FTP。然后自然就是 OPEN xxxxxxxx 进入该站了目录了···

PS:有一点不是很明白，既然是通过IIS反弹回来的SHELL，那么应该是继承了IIS的权限，但是，基于IIS的权限，有2点不明白，第一，ASP木马为何无权限访问该目录，第二，为何改反弹回来的SHELL无法切入到网站根目录？