FileZilla Server 2008 x64 提权与防御方法

Windows Server 2008环境下的渗透与提权策略

让我们先了解目标站点的环境配置：Windows Server 2008 R2 x64操作系统，PHP Version 5.4.31，MySQL Server 5.5。对于这样一个站点，入侵者的首要任务是理解并适应其安全配置。此服务器已经开启安全模式并禁用了部分危险函数，如exec, system等，这增加了渗透的难度。C盘根目录无读权限，D盘则全盘浏览受限。针对数据库如mysql的用户权限已降低，sqlserver的端口也被修改，使得常规的数据库攻击手段难以奏效。站点支持aspx文件上传，但补丁更新频繁，运行在vmware虚拟机上，安装了多达206个修补程序。EXP本地溢出尝试无果。

在深入过程中，发现了FileZilla server.exe进程运行。入侵者通过转发特定端口到外网IP，获取了FileZilla服务器的安装目录并链接到外网端口。接着创建了一个ftpadmin帐号并赋予了C盘根目录的权限。这是一个关键步骤，为后续操作打开了大门。

当尝试修改system32下的sethc.exe时遇到了问题。由于系统权限的限制，无法修改或删除系统文件。这时，入侵者需要考虑其他的提权方法。一种可能的途径是通过FTP篡改桌面快捷方式指向恶意程序，或者在启动项目录中上传利用程序等待服务器重启后执行。但由于这种方法相对被动且成功率不高，需要本地搭建类似环境进行测试以提高成功率。另一种方法是替换system系统服务程序进行提权。通过ASPXSPY查看自动启动的程序，并替换如vmtools的程序vmtoolsd.exe或其他服务程序。入侵者利用刚发现的webdav漏洞使服务器蓝屏重启后成功添加帐号。在登录系统后，入侵者会恢复被替换的服务程序并保证服务正常运行。入侵过程中可能会遇到各种挑战，如重启后替换的程序未执行等，这需要入侵者灵活应对。值得注意的是，这一切的成功都得益于没有杀毒软件的干扰和WAF的阻拦。在实际环境中可能会遇到更复杂的情况。

防御此类攻击的关键在于禁止本地端口连接外部或限制ftp服务器的权限运行。此外提醒读者这类技术不适用于任何非法或不道德的行为。请注意尊重他人隐私和财产安全并遵守相关法律法规进行合法渗透测试或网络安全防御工作。作者@y0uki11分享的知识和信息仅供学习和讨论之用，未经许可不得用于任何非法活动。转载自网络推广网站推广并由90sec授权发布。在此提醒广大网友网络安全重于泰山提高警惕保护自身信息安全和网络安全共同维护网络空间的安全稳定。