NTFS格式分割槽下實現提公升許可權的一些方法和思路

ntfs格式分割槽下實現提公升許可權的一些方法和思路

至從微軟發布win2k作業系統以後就向全世界提倡使用者採用ntfs格式分割槽。採用ntfs格式分割槽的好處是不言而喻的，

比如設定許可權和各級許可權審核。本人也一直在使用ntfs格式分割槽，在作業系統上採用ntfs格式分割槽只要分配好許可權設定

會大幅度提公升系統的安全性。至於ntfs分割槽格式的很多好處我在這裡就不在為大家詳細介紹了。ntfs分割槽似乎成為了乙個神話，

許多入侵者都不能夠突破ntfs分割槽格式的許可權審核而不能開展深入滲透，我本人在以前的hacking當中也被ntfs這個"攔路虎"阻攔

過多次導致整個滲透行動失敗，最近我發現了一種思路可以在對方很bt的設定下成功提公升許可權，不敢獨享以本文詳細介紹給大家。

想要深入**就先要了解目前採用ntfs格式分割槽的主機許可權設定的幾種型別。

一預設設定

先來看看預設許可權設定下系統很目錄user或者guest組對系統根目錄的許可權。請看圖（1）

下面我們再來看看program files目錄的預設許可權分配，請看圖（2）

根據圖（2）所示可以看出，在預設ntfs格式分割槽下program files目錄對user組的許可權只有：讀取及執行，列出資料夾目錄，讀取（guest組也是一樣）。我們可以做乙個實驗，我現在是已user登陸到計算機中，然後在program files目錄試圖建立乙個資料夾，結果請看圖（3）

看到了吧？拒絕訪問，說明沒有寫入許可權。

下面我們繼續來看winnt目錄，我試驗的主機為win2k主機。請看winnt目錄的預設許可權分配，還是拿user組（guest組也是一樣）做例子，請大家看圖（4）

winnt目錄和program files目錄情況差不多，我就不在多說了，大家自己看就能明白了。

還有乙個關鍵的目錄就是"documents and settings "目錄，這個目錄一般存放使用者的啟動資訊，比如：收藏夾，開始選單，文件......

這個目錄的資料夾一般都是"administrators""all users"......

預設ntfs格式分割槽下guest組和user組對管理員使用者名稱下的資料夾無任何許可權（比如administrator資料夾）對all users和guest

資料夾只有讀取許可權，而沒有寫許可權。

說完系統分割槽下在說一說系統分割槽以外的許可權，一般預設情況下guest組對系統以外分割槽的許可權為完全控制。可以進行任何操作。

看好了我指的是預設哦。至於預設許可權我就給大家廢話這麼多，下面我就給大家講一下在許可權預設分配的情況下如何實現提公升許可權。

基本有以下種思路和方法。

1 替換服務法：

這種辦法現在被黑迷們廣泛使用，辦法就是：假設系統載入的服務有不在系統分割槽下的，就可以找到服務所對應的檔案，

然後在用後門，木馬......替換掉這個檔案。等系統重新啟動以後就會自動載入你替換掉的這個檔案，這樣你就實現了提公升許可權。

分析：預設的ntfs格式分割槽，對系統以外的分割槽guest和user組都有完全控制許可權，所以才導致替換服務提公升許可權。

2 系統漏洞

對於利用系統漏洞導致的提公升許可權就沒什麼好說的了，比如:idq.dll+ispc.exe在比如debug提公升許可權和早期的輸入法漏洞。

3 利用serv-u的servudaemon.ini檔案提公升許可權

關於這個的文章我發表在了12月的雜誌的，詳細內容看雜誌。

分析：想要利用此法提公升許可權必須要滿足乙個條件，必須要對servudaemon.ini檔案有改寫許可權，

在ntfs格式系統分割槽下user組和guest組是不能修改servudaemon.ini的，所以此法有一定的限制。

對於系統以外分割槽預設情況下是可以改寫的，可以利用此法實現提公升許可權。

4 利用serv-u的預設43958埠實現提公升許可權

在預設安裝完serv-u以後serv-u預設監聽127.0.0.1:43958埠，所以只有在本機才能連線這個管理埠。serv-u預設管理賬號是localadministrator,預設密碼是#l@$ak#.lk;0@p.

在你取得普通許可權以後（比如:webshell user許可權的shell）可以把這個127.0.0.1:43958這個埠對映到你自己的ip位址上。（注意問題：127.0.0.1這個ip位址是你本地的ip位址）然後在用預設管理賬號是localadministrator,密碼#l@$ak#.lk;0@p登陸，

然後使用sev-u的遠端管理功能實現提公升許可權。（詳細方法請看我在本期雜誌另外一篇文章《成功滲透windows server 2003》）

分析：在預設ntfs格式分割槽除系統盤以外guest組和user組成員都有可執行許可權，

這樣我們就可以執行埠對映工具來對映127.0.0.1:43958埠，導致提公升許可權。

以上4種是目前最常用的提公升許可權，當然除此4種辦法以外還有其他辦法，比如：嗅探，利用其他第三方軟體的設計缺陷，

找到mssql帳戶所在asp檔案......以上我為大家講的是預設情況下，但是一般使用預設ntfs許可權的分配不多，

很多注重安全的管理員都不會使用預設許可權分配，以下我就給大家講一講不是預設情況下提公升許可權的一點心得體會。

二非預設設定

如果管理員特意去改這個預設許可權分配的話就可以說明這個管理員很注重安全，應該會比預設情況下給普通使用者設定成更小的許可權。最近我就遇到乙個**的主機。設定許可權很**，我攻破其系統以後才看清楚到底是如何分配的許可權，請看圖（5）

看到了嗎？c盤只有administrators組，也就是說只有系統管理員才對系統盤有完全控制。其他使用者一點許可權都沒有。在來看看d盤的設定情況，請大家看圖（6）

管理員也把d盤設定成這樣。剩下的e，f，g都設定成這樣。先說明一點是這個主機是一台虛擬主機，web都在g盤，其中乙個虛擬目錄的許可權設定請看圖（7）

只有web目錄才給iis帳戶完全控制權。這些都是我後來才得知的。下面我就為大家講一下我是如何在這樣設定下成功實現許可權提公升的。

這台主機的ip位址為：61.151.***.***。開放埠為：

我通過sql injection得到了該主機上的乙個webshell，既然是webshell就說明我現在已經拿到了這個主機的guest組的許可權。但是我利用webshell執行命令的時候發現什麼命令都不可以執行，連最基本的dir和net user都不可以。請看圖（8）

使用cmd.asp不可以執行任何命令。接下來我就換了乙個類似海洋頂端網asp木馬的webshell。可以執行一些操作。但是發現只可以在當前目錄下進行一些操作。這個**在伺服器下的虛擬路徑為：g:/home/sh.leocn.com ,除了此資料夾以外對任何目錄都不可以瀏覽，原因請看圖（7）。相信許多讀者也碰到過這樣的情況，按照上文預設ntfs設定提公升許可權的方法都行不通。因為你根本出不去這個目錄。用aspshell瀏覽c盤顯示什麼都沒有（設定的夠bt吧？），請大家看圖（9）

破解以後就可以說明我已經獲得了這個主機的administrator許可權。接下來輸入破解到的使用者名稱密碼用pcanywhere控制端連線。請看圖（12）

到了這裡有兩種情況。

1 等管理員上來，然後你控制。（比較危險）

2 你試驗一下pcanywhere破來的密碼是否和主機管理員密碼一致。如果一致還等什麼？我這台就是一樣的密碼。我直接登陸到了主機上。看圖（13）

NTFS格式分割槽下實現提公升許可權的一些方法和思路

CentOS識別NTFS格式的分割槽

centos 掛載ntfs分割槽格式硬碟

Linux下使用Ntfs分割槽

NTFS格式分割槽下實現提公升許可權的一些方法和思路

CentOS識別NTFS格式的分割槽

centos 掛載ntfs分割槽格式硬碟

Linux下使用Ntfs分割槽

相關推薦