• 2007/04/16旁注资料最终版

    版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://www.blogbus.com/h4ck3r-logs/5055309.html

    旁注是一种思想,一种考虑到管理员的设置和程序的功能缺陷而产生的,不是一种单纯的路线入侵方法,知道没有?!不要整天看着文章去照着路子入侵,这是没有作用的,只是徒劳无功。

    1. 旁注的条件:

    (1).主机要可以执行CMD任意命令

    · 如果主机不能执行CMD任意命令的话,就导致在旁注的过程当中不能进入一些重要的文件夹或者是查看一些服务是否开放,因为木马不是固定死的,如果你们习惯了用其他的木马就需要借助CMD命令的执行去查看服务的开放以及根据开放的服务去调整你们所要入侵的方法。

    (2).主机需要支持FSO/ADO/WSH/等功能

    · 如果主机不能够支持FSO/ADO/WSH的话,就根本不需要入侵了。我们的木马不外乎就是利用这种的功能进行运行以及功能上的实现,如果没有这些功能的话,我建议大家跟管理员说:"小子,老子要D你管理的服务器,如果不想被D就在XXX网站帮我弄个WEBSHELL上去!"这样子最起码可以避免入侵的困难啊!

    (3)主机需要安装了SERV-U/诺顿杀毒等其他软件

    · 如果主机安装了Ser-U的话,我们就可以利用Serv-U的用户配置文件进行目标网站的路径查询,从而进行同一服务器跨站式入侵进入目标网站了,第二就是如果没有权限的话,就可以利用Serv-U的本地提升权限漏洞进行权限提升,这样子就可以进去文件夹了(这个方法是辅助旁注了,不属于纯正的旁注)

    · 如果主机安装了诺顿杀毒等等杀毒软件的时候,你就要熟悉每种杀毒软件的特性,从而想办法在各种的杀毒查杀日记当中得到目标网站的路径(这类入侵方法是针对黑客网站以及整天被入侵的网站而进行的,也可以查看杀毒里面那些无关的网站路径去猜测目标网站的路径以及路径的模式)

    · 目前在服务器当中的第三方软件大多数都是存在着用户配置文件的,这样子就可以利用这些服务软件得到我们需要的信息。

    (4).主机必须是安装了IIS系统(Apache系统我没有测试过)

    · 如果主机安装了IIS系统,就要针对管理员的习惯了。如果管理员是负责的话,大多数都会在IIS设置保存IIS用户配置的,这样子我们就可以得到黑匣子(IIS日志和用户配置),这样子一来我们就可以得到目标网站的IIS设置/网站物理路径/脚本的支持/等等的信息。还要说明一点的是:IIS用户配置文件如果没有备份过的话,是以IISupdate.MDO的递进后缀名存在的。

    · 要注意的一点是,如果主机的IDC系统是虚拟主机管理系统的话,你们就要注意了,主机的权限和用户配置都有所不同。第一是,IIS是没有用户配置文件的。第二是,Serv-U暴露路径的机会并不大,因为虚拟主机管理系统的权限设置大多数都是IIS单用户权限。

    (5).最为重要的一点了,就是主机的IIS权限必须是非IIS单用户权限,要不然你们就去跟管理员说:"小子,老子要D你管理的服务器,如果不想被D就在XXX网站帮我弄个WEBSHELL上去!"这样子最起码可以避免入侵的困难啊!

    2.旁注要注意的问题:

    (1).如何去确定所入侵的主机IIS权限?

    · 我们入侵了一台主机得到了webshell,那我们怎么去确定我们所入侵的主机IIS权限是怎么样的了?!以砍客木马为介绍,我们要查看的是木马的首页,从那里我们可以得到主机的权限设置,机器名等等的信息。

    从上面我们可以看到主机的IIS权限设置为单用户的权限,这样子我们就可以基本上确定旁注在这台主机当中的可行性是很低的了!

    (2).从服务列表当中去确定我们可以到路径或者是权限/分析主机的管理系统

    · 我们从服务器列表当中可以得到pcanywhere和Serv-U的路径地址和是否存在,也可以得到主机是用程序来管理员用户网站的!

    从上面可以看到主机开放了Pcanywhere和Vhost两个服务,而VHost就是虚拟主机的管理程序所以就可以确定这台主机更加不能得到IIS用户配置文件了!
    (3).从木马看主机支持什么功能和命令

    · 看看主机支持什么功能和命令,我们可以查看砍客木马的最顶端显示。

    看到了吧~主机支持以上的功能,但是因为权限限制太高了!有这些功能都是废物了啊!
    3.各个服务以及黑匣子位置列表:

    (1).IIS用户配置列表物理路径

    C:\WINDOWS\system32\inetsrv\MetaBack

    (2).安全日志文件:%systemroot%\system32\config \SecEvent.EVT
    (3).系统日志文件:%systemroot%\system32\config \SysEvent.EVT
    (4).应用程序日志文件:%systemroot%\system32\config \AppEvent.EVT
    (5).FTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。

    (6).诺顿杀毒日志:C:\Documents and Settings\All Users\Application Data\Symantec
    分享到: