By:Detective

    声明,这不是什么星外0DAY,这充其量只是一个在找不到可写可执行目录的一个提权思路。我不敢说是我最先发现的,可能有其他人也发现了,并且也在利用了。

    其实无数实例证明了lcx前辈那句话,细节决定成败。这只是入侵渗透中的细节问题,刚好我注意到了。下面正文开始。

    众所周知要成功提权星外主机就要找到可写可执行目录,可近来星外主机的目录设置越来越BT,几乎没有可写可执行目录。所以另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换,将这些文件替换为我们的cmd.exe和cscript.exe来提权,经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行。

    首先是我们可爱的360杀毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db   360杀毒数据库文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db  360杀毒数据库文件
c:\Program Files\360\360sd\Section\mutex.db   360杀毒数据库文件

    c:\Program Files\360\360Safe\deepscan\Section\mutex.db 这个文件,只要安装了360杀毒就一定存在,并且有Everyone权限。其他2个文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log   伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log  伪静态设置软件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf  伪静态设置软件ISAPI Rewrite配置文件

    主要是ISAPI Rewrite 3.0版本存在权限问题,老版本暂时没发现有此类问题。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 诺顿杀毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat  诺顿杀毒事件日志文件

    诺顿杀毒可能局限于版本,我本机XP并未找到以上文件

    以下是最后2个可替换文件

c:\windows\hchiblis.ibl  华盾服务器管理专家文件许可证

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv  DU Meter的流量统计信息日志文件


    暂时知道以上文件权限为Everyone,注意,即使可替换文件的所在目录你无权访问,也照样可以替换执行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db,可D:\Program Files\360\360Safe\deepscan\Section目录没有访问权限,用BIN牛的aspx大马访问D:\Program Files\360\360Safe\deepscan\Sectio显示拒绝访问,可mutex.db文件在该目录下,你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

    这样一来在没有找到可写可执行目录时候,不防查看服务器上是否安装了以上软件,有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

    为了防喷,标题加了双引号。。 

    另外听闻有些牛手里有asp下秒杀星外的0DAY,不知是否有这回事

    未经我同意不得转载。尼码的装13什么的最讨厌了。。