原先,大家可能由各种上传漏洞,得到过很多机器的webshell,无奈权限不够,一直不能完全控制。
最近,看到“江民"网站被黑的录象,录象中提到江民网站被上传了ASP木马(可能网站有dvbbs6.0论坛),又由于论坛21端口开着,是serv-u(可能5。1。0。0以下的,好象5。2。0。0也可以提升权限),于是用sevu的本地提升权限软件(我在论坛”入侵艺术“中也上传过该软件servlocal.exe),开了3389,并侵入网站。
这是种很好的入侵思路,因为servlocal.exe 后面可以加”Dos命令“.比如net user 加用户,也可以是某木马程序(好多木马或后门,必须是超级权限才行,因为他要写注册表,写入服务等)。
ASP木马+servlocal.exe,非常经典!!!
当然,入侵机器需装有serv-u,且你webshell有一定的权限,并且serv-u的本地的端口和超级用户及密码为默认的(现在已有serv-u本地权限提升漏洞防御工具,可以修改该参数)。
本人用 ”ASP木马+servlocal.exe“已经成功地控制某些机器。
愿与大家交流。
更多内容请看PCdog.com--网站服务器的选型、认识脚本攻击、江民专题
