三、利用QQ2005共享文件漏洞将权限提升到底

再次翻了翻D盘，又见到了那个很少能在服务器中看到的Tencent文件夹。查看whatsnew.txt。

得知QQ的版本是QQ2005 Beta1，几个于相关文件的创建时间也说明网管最近在服务器上登陆过QQ。难道只能用QQ？经过一番思索，终于想到一个可以利用的QQ2005在文件共享功能上的一则漏洞。

该漏洞是随着QQ2005贺岁版新增功能出现的。可以将其危害描述为：利用该漏洞，攻击者可以浏览，读取用户系统中的任意文件（如sam文件、数据备份文件、敏感信息文件）。影响系统：安装有QQ2005贺岁版以上的所有Windows系列操作系统。

具体利用方法是：先在本机登陆自己的QQ，调出“QQ菜单”，选择工具－>设置共享，指定C:\或者其他任何有利用价值的分区为共享文件，完成后关闭QQ，找到安装目录下的以QQ帐号命名的文件夹内“ShareInfo.db”文件。上传覆盖目标服务器上相同文件（如：D:\Tencent\QQ\654321\ShareInfo.db）。这样，当网管在服务器上登陆QQ时就会向好友开放C盘为共享目录。

因为陌生人是不能共享对方文件，所以还需要用社会工程学申请将管理员加为好友(理由当然越可信越好)。如果管理员通过请求，服务器的C盘会以QQ共享文件目录的名义被共享，原本不能通过WEBSHELL访问的ServUDaemon.exe文件就能被下载，遇到阻碍的权限提升之路又能继续了。

当晚管理员就通过了申请，将我添加为好友。珊瑚虫QQ上显示的IP正是目标服务器的IP，于是下载了ServUDaemon.exe文件，用UE打开后查找127.0.0.1，发现默认配置下的内置帐户“LocalAdministrator”果然被改成了“LocalAdministruser”。

这看起来是一个很“终极”的防御，但提出该方法的xiaolu似乎没有进行攻防所须的换位思考就将其公布，要知道攻击者只需知道修改后的配置，并对本地权限提升利用工具进行相应的修改，所谓的终极防御也就被攻破了。方法还是用UE打开脱了壳的serv-u本地权限提升利用工具，将LocalAdministrator改为LocalAdministruser即可。

然后上传修改后的ftp2.exe，在wscript.shell中执行D:\web\ftp2.exe “net user user password /add”后看看结果，已经成功添加了一个用户。再把该用户加入administrators组和“Remote desktop users”组后登陆了目标服务器的远程桌面。

经过重重险阻，终于彻底攻陷了这台坚固的Windows2003堡垒。

四、简单启示

可以看出，和“服务越少越安全”一样，服务器上运行的“第三方”越少越安全，流行的PcAnywhere、VNC、Serv-U 权限提升和这里提出的利用QQ2005提升权限，都是可以这样避免。