星外提权“新思路”

    By：Detective

    声明，这不是什么星外0DAY，这充其量只是一个在找不到可写可执行目录的一个提权思路。我不敢说是我最先发现的，可能有其他人也发现了，并且也在利用了。

    其实无数实例证明了lcx前辈那句话，细节决定成败。这只是入侵渗透中的细节问题，刚好我注意到了。下面正文开始。

    众所周知要成功提权星外主机就要找到可写可执行目录，可近来星外主机的目录设置越来越BT，几乎没有可写可执行目录。所以另一个“提权思路”出现了。寻找服务器上安装的第3方软件某些文件的权限问题来进行文件替换，将这些文件替换为我们的cmd.exe和cscript.exe来提权，经我测试发现以下服务器常用软件的某些文件权限为Everyone即为所有用户权限，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行。

    首先是我们可爱的360杀毒。

c:Program Files360360SafeAntiSectionmutex.db   360杀毒数据库文件
c:Program Files360360SafedeepscanSectionmutex.db  360杀毒数据库文件
c:Program Files360360sdSectionmutex.db   360杀毒数据库文件

    c:Program Files360360SafedeepscanSectionmutex.db 这个文件，只要安装了360杀毒就一定存在，并且有Everyone权限。其他2个文件不一定。

c:Program FilesHeliconISAPI_Rewrite3error.log   伪静态设置软件ISAPI Rewrite日志文件
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log  伪静态设置软件ISAPI Rewrite日志文件
c:Program FilesHeliconISAPI_Rewrite3httpd.conf  伪静态设置软件ISAPI Rewrite配置文件

    主要是ISAPI Rewrite 3.0版本存在权限问题，老版本暂时没发现有此类问题。

c:Program FilesCommon FilesSymantec SharedPersist.bak 诺顿杀毒事件日志文件

c:Program FilesCommon FilesSymantec SharedValidate.dat 诺顿杀毒事件日志文件

c:Program FilesCommon FilesSymantec SharedPersist.Dat  诺顿杀毒事件日志文件

    诺顿杀毒可能局限于版本，我本机XP并未找到以上文件

    以下是最后2个可替换文件

c:windowshchiblis.ibl  华盾服务器管理专家文件许可证

c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv  DU Meter的流量统计信息日志文件

    暂时知道以上文件权限为Everyone，注意，即使可替换文件的所在目录你无权访问，也照样可以替换执行。比如D:Program Files360360SafedeepscanSectionmutex.db，可D:Program Files360360SafedeepscanSection目录没有访问权限，用BIN牛的aspx大马访问D:Program Files360360SafedeepscanSectio显示拒绝访问，可mutex.db文件在该目录下，你照样可以上传由cmd.exe换名后的mutex.db文件进行替换。

    这样一来在没有找到可写可执行目录时候，不防查看服务器上是否安装了以上软件，有的话可以上传同文件名替换原文件为你的提权文件。这样就可以成功执行了。

    为了防喷，标题加了双引号。。 

    另外听闻有些牛手里有asp下秒杀星外的0DAY，不知是否有这回事

    未经我同意不得转载。尼码的装13什么的最讨厌了。。

文章来源于lcx.cc:星外提权“新思路”