最近,看到“江民"网站被黑的录象,录象中提到江民网站被上传了ASP木马(可能网站有dvbbs6.0论坛),又由于论坛21端口开着,是serv-u(可能5。1。0。0以下的,好象5。2。0。0也可以提升权限),于是用sevu的本地提升权限软件(我在论坛”入侵艺术“中也上传过该软件servlocal.exe),开了3389,并侵入网站。
这是种很好的入侵思路,因为servlocal.exe 后面可以加”Dos命令“.比如net user 加用户,也可以是某木马程序(好多木马或后门,必须是超级权限才行,因为他要写注册表,写入服务等)。
ASP木马+servlocal.exe,非常经典!!!
当然,入侵机器需装有serv-u,且你webshell有一定的权限,并且serv-u的本地的端口和超级用户及密码为默认的(现在已有serv-u本地权限提升漏洞防御工具,可以修改该参数)。
本人用 ”ASP木马+servlocal.exe“已经成功地控制某些机器。
愿与大家交流。
【责任编辑 张洪】