Chinadu's Blog » Windows 2003

更改windows2003最大连接数

Chinadu — Thu, 22 Apr 2010 14:52:25 +0000

windows 2003中的远程桌面功能非常方便，但是初始设置只允许2个用户同时登陆。有些时候因为我在公司连接登陆后断开，同事在家里用其他用户登陆后断开，当我再进行连接的时候，总是报错“终端服务超过最大连接数”。这时候我和同事都不能登陆，有没有什么办法可以达到以下几个目的中的一个：

　　1. 为账号设定权限，管理员登陆的时候强制注销多余的用户。
　　2. 管理员登陆的时候自动接管在其他地方断开的状态（本来这个功能具备，但有些时候不行）。
　　3. 不安装总段服务的时候增加连接数（不是临时授权）

　　通过以下方法来增加连接数:

　　1.运行：services.msc，启用license logging。
2.打开win2k3的控制面板中的“授权”，点“添加许可”，输入要改的连接数。
3.添加完毕后再关闭 License Logging。

2012年01月31日 -- 命令行导出IIS配置信息
2011年11月24日 -- 域内指定用户中马
2011年06月6日 -- Linux下MySQL的load_file常用路径
2011年06月6日 -- linux渗透小技巧
2010年05月5日 -- 搞内网的一个小技巧
2010年03月1日 -- 让千千静听不再弹出广告
2010年01月27日 -- ASP.NET+Win2003虚拟主机安全设置
2010年01月19日 -- 手工屏蔽迅雷技巧【禁止上传、广告、迅雷看看15秒广告】
2009年11月5日 -- MySQL导入数据库文件最大限制2048KB的修改解决办法
2009年09月25日 -- 突破Windows 2003 200k限制的上传程序

ASP.NET+Win2003虚拟主机安全设置

Chinadu — Wed, 27 Jan 2010 03:16:31 +0000

我们举例详细说明在运行ASP.NET的 windows 2003虚拟主机上,对于多个ASP.NET站点的安全配置;
在这里,我们的站点目录放在D盘的www文件夹,假设现在有一个名叫fesend的虚拟主机用户,我们在www文件夹下建立 fesend 的文件夹来存放此用户的站点数据

其中要用到以下组及帐号：
IIS_WPG 组（也称为 IIS 工作进程组，IIS Worker Process Group）
Guests组（来宾组，在系统中拥有最少的权限）

Internet 来宾帐户（匿名访问 Internet 信息服务的内置帐户）
启动 IIS 进程帐户（用于启动进程外应用程序的 Internet 信息服务的内置帐户）

1 磁盘权限设置
⑴ D盘根目录的权限设置如下,只保留Administrator和System,其他帐号全部删除

⑵ 随后加入IIS_WPG组，并对IIS_WPG组设定如下图所示权限

⑶ 建立IUSR_FESEND及IWAM_FESEND帐号

设置“IUSR_FESEND”帐号为“Guests”组，删除“Users”组

设置“IWAM_FESEND”帐号为“IIS_WPG”组，删除“Users”组

若您的虚拟主机上面运行多个站点，则可以按照以上的方法，建立多组 “IUSR_XXXX”“IWAM_XXXX” 帐号；每个运行ASP.NET的站点都需要一组这样的帐号；

⑷ 设定 fesend 用户站点根目录的安全权限，此示例的站点目录为“D:wwwfesend”，此目录用于存放 fesend 用户的站点数据；
首先去除父目录继承来的权限（方法如下图），只保留“Administrators”和“SYSTEM” ，其他全部删除；

随后添加我们刚才建立的“IUSR_FESEND”“IWAM_FESEND”帐号，并赋予完全控制权限（修改权限也可）；并应用该设定到下级所有目录中，按确定完成Web站点根目录权限设定。最终效果如下图所示：

2 IIS 设置
建立www.fesend.com站点，指向 fesend 用户的站点目录 “D:wwwfesend”；
⑴ 站点匿名访问帐号设置，修改成我们刚才建立的“IUSR_FESEND”帐号

⑵ 创建名称为“FESEND”(名称可以任意)的应用程序池；

接下来右键 FESEND 应用程序池->属性；打开标识标签，选择“配置”，用户名密码选择我们刚才建立的“IWAM_FESEND”帐号，如下图所示：

⑶ 最后一步，设置“www.fesend.com”站点的应用程序池为上面建立的“FESEND”；

至此，fesend 用户的IIS站点就建立好了，服务器若存在多个站点，可以依次为多个站点进行配置，每个站点建立特定的访问帐号，这样虚拟主机的每个用户都拥有自己的权限，只能访问自己的站点目录，不能互相访问，虚拟主机的安全性可以得到保障；

2010年04月22日 -- 更改windows2003最大连接数
2009年09月25日 -- 突破Windows 2003 200k限制的上传程序
2007年03月19日 -- 利用QQ文件共享漏洞入侵 Windows2003
2007年02月11日 -- 提权之道（关于WNDOWS 2003 目录权限的初探）
2006年09月21日 -- cmd.aspx

突破Windows 2003 200k限制的上传程序

Chinadu — Fri, 25 Sep 2009 13:07:41 +0000

作者：Netpatch

有的时候，我们需要上传大东西，但是由于W2K3默认上传限制为200KB。这个时候，不得不分包，依次上传，那个累呀！
有人问为什么不用Microsoft.XMLHTTP和Adodb.Stream组件，直接从服务器上下载呢【要是不能访问网络呢？你会怎么做？】

于是有了这个超级上传程序。实践可以支持大于10M的文件!

暂时没测试出什么问题！若有问题,请留言！

转载请保留版权。谢谢合作!

SU.vbs ----- 客户端
s.asp ----- 服务端

使用方法:

cscript su.vbs url local_file

cscript su.vbs http://pcsec.org/s.asp c:\test.exe

下载地址：2003upload

2010年04月22日 -- 更改windows2003最大连接数
2010年01月27日 -- ASP.NET+Win2003虚拟主机安全设置
2009年12月28日 -- 突破防篡改继续上传
2009年09月29日 -- 动网多个版本上传漏洞
2007年03月19日 -- 利用QQ文件共享漏洞入侵 Windows2003
2007年02月11日 -- 提权之道（关于WNDOWS 2003 目录权限的初探）

利用QQ文件共享漏洞入侵 Windows2003

Chinadu — Mon, 19 Mar 2007 11:22:43 +0000

服务器上运行的第三方软件历来就被攻击者们看作是入侵目标系统的捷径。现在，著名的腾讯QQ又被列入了这些捷径名单，好在QQ并不是服务器必备的软件之一，所以相信不会造成大范围的危机。文中遇到特殊情况虽然不多，但大家还是应该遵照“可能的就应该防范”的原则做出相应防御。

一、在Windows2003中得到的Webshell

此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003，但OA仍存在asp文件上传漏洞，所以webshell的取得并没有任何悬念。阻碍是在权限提升时遇到的。

登陆webshell后发现只能查看服务器的D盘，对C盘不能进行任何访问，webshell的提示是“没有权限”。这点早在意料之中，因为wenshell只有guests组权限，再加上win2003默认禁止了“Everyone"匿名用户及“Guest"组权限用户访问cmd.exe，还造成了不能通过webshell运行cmd.exe。

唯一值得庆幸的是利用Webshell 可以对D盘（存放有web虚拟目录）各个子目录进行读写。这里除了web虚拟目录还有一些数据备份文件和一个腾讯QQ安装目录Tencent。

二、破解Serv-u的终极防范

Windows2003的种种默认安全配置展示了它强大的一面，近一步提升现有权限似乎已不太可能，直到我试图从系统入手向这台服务器发出FTP链接请求并看到Serv-u的banner时才觉得又有了一线希望。

前面提到由于Windows2003对cmd.exe的权限限制，通过webshell方式不能运行cmd.exe，这样的论断在2004年6期的防线的《构建Windows2003堡垒主机》一文也曾提到,但实践表明这并不正确，通过webshell上传本地非2003系统中未受限制的cmd.exe文件到可执行目录，再通过wscript组件，同样能够通过webshell方式在Windows2003下获得相应权限的cmd.exe。结合nc.exe，甚至还能得到一个guest组权限的命令行下的shell。

为此，我对老兵的站长助手6.0做了一些改进，增加了如下代码，使其能够利用Wscript.shell组件运行本地上传的cmd.exe。

Function CmdShell()
If Request("SP")<>"" Then Session("ShellPath") = Request("SP")
ShellPath=Session("ShellPath")
if ShellPath="" Then ShellPath = "cmd.exe"
if Request("wscript")="yes" then
checked=" checked"
else
checked=""
end if
If Request("cmd")<>"" Then DefCmd = Request("cmd")
SI="

"
Response.Write SI
End Function

利用时只需在shell路径中指定上传的cmd.exe路径，再选中选项Wscript就能运行一些所需权限较低的系统命令，如“net start”或者“netstat -an”，依次运行这两个命令后Webshell回显了众多服务，包括Serv-U FTP Server。

活动端口列表中又出现了43958端口，于是我自然想到了神通广大的Serv-u ftp Server本地权限提升漏洞。可真正用到的ftp本地权限提升工具在执行系统命令时，却出现了530错误提示。看来管理员或者其他人对Serv-u打上了布丁或者做了某些安全配置。

为了知道究竟是怎样的安全配置，上网查了查相关文章，其中有一篇《Serv-u ftp Server 本地权限提升漏洞的终极防范》很受欢迎，被多方转载，作者是世外高人xiaolu。从错误提示看很有可能做了该文所谓的终极防范，即对ServUDaemon.exe中默认的管理员或密码进行了修改。

当然这只是假设，只有将目标服务器上的ServUDaemon.exe下载下来看看具体配置才能确定，但是安装有Serv-u的C盘禁止访问，包括Programe files 目录，权限提升再次受阻。

三、利用QQ2005共享文件漏洞将权限提升到底

再次翻了翻D盘，又见到了那个很少能在服务器中看到的Tencent文件夹。查看whatsnew.txt。

得知QQ的版本是QQ2005 Beta1，几个于相关文件的创建时间也说明网管最近在服务器上登陆过QQ。难道只能用QQ？经过一番思索，终于想到一个可以利用的QQ2005在文件共享功能上的一则漏洞。

该漏洞是随着QQ2005贺岁版新增功能出现的。可以将其危害描述为：利用该漏洞，攻击者可以浏览，读取用户系统中的任意文件（如sam文件、数据备份文件、敏感信息文件）。影响系统：安装有QQ2005贺岁版以上的所有Windows系列操作系统。

具体利用方法是：先在本机登陆自己的QQ，调出“QQ菜单”，选择工具－>设置共享，指定C:\或者其他任何有利用价值的分区为共享文件，完成后关闭QQ，找到安装目录下的以QQ帐号命名的文件夹内“ShareInfo.db”文件。上传覆盖目标服务器上相同文件（如：D:\Tencent\QQ\654321\ShareInfo.db）。这样，当网管在服务器上登陆QQ时就会向好友开放C盘为共享目录。

因为陌生人是不能共享对方文件，所以还需要用社会工程学申请将管理员加为好友(理由当然越可信越好)。如果管理员通过请求，服务器的C盘会以QQ共享文件目录的名义被共享，原本不能通过WEBSHELL访问的ServUDaemon.exe文件就能被下载，遇到阻碍的权限提升之路又能继续了。

当晚管理员就通过了申请，将我添加为好友。珊瑚虫QQ上显示的IP正是目标服务器的IP，于是下载了ServUDaemon.exe文件，用UE打开后查找127.0.0.1，发现默认配置下的内置帐户“LocalAdministrator”果然被改成了“LocalAdministruser”。

这看起来是一个很“终极”的防御，但提出该方法的xiaolu似乎没有进行攻防所须的换位思考就将其公布，要知道攻击者只需知道修改后的配置，并对本地权限提升利用工具进行相应的修改，所谓的终极防御也就被攻破了。方法还是用UE打开脱了壳的serv-u本地权限提升利用工具，将LocalAdministrator改为LocalAdministruser即可。

然后上传修改后的ftp2.exe，在wscript.shell中执行D:\web\ftp2.exe “net user user password /add”后看看结果，已经成功添加了一个用户。再把该用户加入administrators组和“Remote desktop users”组后登陆了目标服务器的远程桌面。

经过重重险阻，终于彻底攻陷了这台坚固的Windows2003堡垒。

四、简单启示

可以看出，和“服务越少越安全”一样，服务器上运行的“第三方”越少越安全，流行的PcAnywhere、VNC、Serv-U 权限提升和这里提出的利用QQ2005提升权限，都是可以这样避免。

2010年04月22日 -- 更改windows2003最大连接数
2010年01月27日 -- ASP.NET+Win2003虚拟主机安全设置
2009年11月7日 -- 破解QQ密码
2009年09月25日 -- 突破Windows 2003 200k限制的上传程序
2009年07月29日 -- 腾讯QQ2009漏洞
2007年04月4日 -- QQ相册被黑,相册首页遭人修改
2007年03月13日 -- 珊瑚虫QQ被判赔偿腾讯十万网友众说纷纭
2007年02月11日 -- 提权之道（关于WNDOWS 2003 目录权限的初探）

提权之道（关于WNDOWS 2003 目录权限的初探）

Chinadu — Sun, 11 Feb 2007 02:10:39 +0000

首先我说明，此文只做为技术交流，同时也并没有什么技术。
前几天再检测有一个服务器的时候，（虚拟主机）管理员的设置很BT，虽然没有禁止WS，但是呢，CMD等文件均不可以访问，并且不能运行任何系统命令，上传一个MT.exe 到了网站目录，可写，并且使用WS可以运行，因此我首先想到的就是利用WS的命令达到提权，因为没装VNC，PCANwhere，至于系统漏洞的本地提权也就不用去试都知道了，行不通的,所以拿系统权限只有靠FTP了，但是呢管理员把FTP的本地密码改了，如果是6.2的话，你还可能可以下回来查看到密码，可惜的是6.3看密码是没有希望了，这个时候想到的自然是SNIFFER，这个时候，自然是想到了使用htran和NC，把端口重定向过来。
反弹回来之后就是目录限制的问题了，我已经遇到了很多个服务器，基本上都是这样，把你的权限限制在 C:\windows\system32\inetsrv 目录里面了， C：的根目录你可以进去，但是无可写权限，大家都知道WINDOWS\TEMP可写，但问题是反弹回来的SHELL无权限DIR的，更加别说权限MD了，因此很是郁闷，毕竟是连网站目录也跳转不到了，所以就是上传了XSNIFFER也没有用，无奈之下，想了很久在里面瞎逛了很久，最后当我切入到 ASP Compiled Templates 目录的时候随便输入一个： md 123 然后是 cd 123 结果，我还真的进到了123 的目录，然后赶快退出来，立刻再MD WOKAO cd wokao之后，就发现了，这个目录可写，然后在ASP木马里面输入路径：C:\windows\system32\inetsrv\ASP Compiled Templates 结果发现，ASP木马对该目录竟然连访问权都没有，这个时候大家或许就明白了，反弹回来的SHELL的权限与网站的权限是不一样的，呵呵，到了这里，自然就是轻车路熟了，继续之前的想法，架设一个 TFTP服务器， TFTP了一个XSNIFFER出来，然后在本地嗅探，以后就是等了，到第2天，自然就是 ctrl+c 终止嗅叹之后，立刻查看：password.txt 了，拿下目标站的管理员FTP。然后自然就是 OPEN xxxxxxxx 进入该站了目录了···

PS:有一点不是很明白，既然是通过IIS反弹回来的SHELL，那么应该是继承了IIS的权限，但是，基于IIS的权限，有2点不明白，第一，ASP木马为何无权限访问该目录，第二，为何改反弹回来的SHELL无法切入到网站根目录？

2010年08月26日 -- xp_hello.dll(sa) 提权
2010年04月23日 -- rar.exe在提权中的妙用
2010年04月22日 -- 更改windows2003最大连接数
2010年04月20日 -- 沙盒提权的小tips
2010年01月31日 -- 瑞星本地提权通杀利用代码
2010年01月27日 -- ASP.NET+Win2003虚拟主机安全设置
2009年12月22日 -- 关于搜狗拼音输入法提权的应用
2009年09月25日 -- 突破Windows 2003 200k限制的上传程序
2009年08月5日 -- Serv-U FTP Server v8 本地提权
2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)