windows提权中敏感目录和敏感注册表的利用

(( windows提权中敏感目录和敏感注册表的利用 ))

 

敏感目录 目录权限 提权用途

 

C:Program Files 默认用户组users对该目录拥有查看权 可以查看服务器安装的应用软件

C:Documents and SettingsAll Users「开始」菜单程序 Everyone拥有查看权限 存放快捷方式，可以下载文件，属性查看安装路径

C:Documents and SettingsAll UsersDocuments Everyone完全控制权限 上传执行cmd及exp

C:windowssystem32inetsrv Everyone完全控制权限 上传执行cmd及exp

C:windowsmy.iniC:Program FilesMySQLMySQL Server 5.0my.ini 默认用户组users拥有查看权限 安装mysql时会将root密码写入该文件

C:windowssystem32 默认用户组users拥有查看权限 Shift后门一般是在该文件夹，可以下载后门破解密码

C:Documents and SettingsAll Users「开始」菜单程序启动 Everyone拥有查看权限 可以尝试向该目录写入vbs或bat，服务器重启后运行。

C:RECYCLERD:RECYCLER Everyone完全控制权限 回收站目录。常用于执行cmd及exp

C:Program FilesMicrosoft SQL Server 默认用户组users对该目录拥有查看权限 收集mssql相关信息，有时候该目录也存在可执行权限

C:Program FilesMySQL 默认用户组users对该目录拥有查看权限 找到MYSQL目录中user.MYD里的root密码

C:oraclexe 默认用户组users对该目录拥有查看权限 可以尝试利用Oracle的默认账户提权

C:WINDOWSsystem32config 默认用户组users对该目录拥有查看权限 尝试下载sam文件进行破解提权

C:Program FilesGeme6 FTP ServerRemote Admi

 

nRemote.ini 默认用户组users对该目录拥有查看权限 Remote.ini文件中存放着G6FTP的密码

c:Program FilesRhinoSoft.comServ-Uc:Program FilesServ-U 默认用户组users对该目录拥有查看权限 ServUDaemon.ini 中存储了虚拟主机网站路径和密码

c:windowssystem32inetsrvMetaBase.xml 默认用户组users对该目录拥有查看权限 IIS配置文件

C:tomcat5.0conf esin.conf 默认用户组users对该目录拥有查看权限 Tomat存放密码的位置

C:KEYSSetup.ini 默认用户组users对该目录拥有查看权限 ZKEYS虚拟主机存放密码的位置

 

 

 

 

 

(( 提权中的敏感注册表位置 ))

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口

HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启

HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表位置

HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置位置

HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用户及密码（su加密）位置

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在该注册表位置PortNumber的值即位3389端口值

HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注册表位置，提权运用请谷歌

HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件，提权中常将其导出进行进行覆盖提权

HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏用户路径和FTP用户名漏洞

HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保存的mssql、mysql等密码

HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码，双MD5加密

HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表位置，当然也包括ControlSet001、ControlSet003